Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC infecté

torkim

Par torkim
dans Analyses et éradication malwares

 Partager

Messages recommandés

torkim Member

torkim

Posté(e)
  • Auteur
Posté(e)
salut

 

récupère le précédent rapport ici : rapport situé dans C:\vundofix.txt (celui que tu as fait la première fois donc)

voilà le rapport précédent.

 

VundoFix V6.6.1

 

Checking Java version...

 

Scan started at 01:51:14 17/11/2007

 

Listing files found while scanning....

 

C:\windows\system32\utcdostk.dll

C:\windows\system32\vfsxijbh.dll

C:\windows\system32\xphijowd.dll

 

Beginning removal...

 

Attempting to delete C:\windows\system32\utcdostk.dll

C:\windows\system32\utcdostk.dll Could not be deleted.

 

Attempting to delete C:\windows\system32\vfsxijbh.dll

C:\windows\system32\vfsxijbh.dll Has been deleted!

 

Attempting to delete C:\windows\system32\xphijowd.dll

C:\windows\system32\xphijowd.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\windows\system32\utcdostk.dll

C:\windows\system32\utcdostk.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

VundoFix V6.6.1

 

Checking Java version...

 

Scan started at 18:09:01 20/11/2007

 

Listing files found while scanning....

 

No infected files were found.

 

 

VundoFix V6.6.1

 

Checking Java version...

 

Scan started at 18:15:54 20/11/2007

 

Listing files found while scanning....

 

No infected files were found.

 

 

VundoFix V6.6.1

 

Checking Java version...

 

Scan started at 15:28:04 21/11/2007

 

Listing files found while scanning....

torkim Member

torkim

Posté(e)
  • Auteur
Posté(e)
Bien

 

Post moi un nouveau Hijack stp

voici le nouveau hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 22:41:01, on 22/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\whbyefbj.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\WINDOWS\system32\hphmon05.exe

C:\WINDOWS\system32\ps2.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe

C:\Program Files\Hewlett-Packard\HP OfficeJet Series 700\bin\HPOVDX05.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\hpoipm07.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\qyfvcnsm.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\HP_Propriétaire\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [Yscdglq] C:\Program Files\Ugimdw\Nokgyi.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [2c03e073] rundll32.exe "C:\WINDOWS\system32\mejvcdfe.dll",b

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe

O4 - Global Startup: Démarrage de l'imprimante HP OfficeJet.lnk = C:\Program Files\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/inst...ctDetection.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c009E039.dat

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: DomainService - - C:\WINDOWS\system32\whbyefbj.exe

O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Lien Rag Full Patch Member

Lien Rag

Posté(e)
Posté(e)

on va controler des éléments

 

click here

 

1) Cliquez sur "Distribute" une fois pour obtenir un trait rouge barrant l'icône :

2) Cliquez ensuite sur le bouton "Parcourir..." pour récupérer le fichier à scanner. en gras :

C:\WINDOWS\system32\whbyefbj.exe

C:\WINDOWS\system32\qyfvcnsm.exe

3) Pour finir, cliquez sur "Send" pour faire analyser votre fichier. Laisses mouliner.

4) Copie-colle à la fin le rapport dans une réponse.

torkim Member

torkim

Posté(e)
  • Auteur
Posté(e)
on va controler des éléments

 

click here

 

1) Cliquez sur "Distribute" une fois pour obtenir un trait rouge barrant l'icône :

2) Cliquez ensuite sur le bouton "Parcourir..." pour récupérer le fichier à scanner. en gras :

C:\WINDOWS\system32\whbyefbj.exe

C:\WINDOWS\system32\qyfvcnsm.exe

3) Pour finir, cliquez sur "Send" pour faire analyser votre fichier. Laisses mouliner.

4) Copie-colle à la fin le rapport dans une réponse.

 

 

Fichier whbyefbj.exe reçu le 2007.11.24 00:09:10 (CET)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 24/32 (75%)

 

 

L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.

Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.

Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,

les résultats seront affichés au fur et à mesure de leur génération.

Formaté Formaté

Impression des résultats Impression des résultats

Votre fichier a expiré ou n'existe pas.

Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

 

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.

Email:

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.11.24.0 2007.11.23 Win-Trojan/Fotomoto.71232

AntiVir 7.6.0.34 2007.11.23 TR/Fotomoto.F.1

Authentium 4.93.8 2007.11.21 -

Avast 4.7.1074.0 2007.11.23 -

AVG 7.5.0.503 2007.11.23 Obfustat.VUL

BitDefender 7.2 2007.11.23 Trojan.Fotomoto.F

CAT-QuickHeal 9.00 2007.11.23 Trojan.Obfuscated.kp

ClamAV 0.91.2 2007.11.23 Trojan.Agent-9085

DrWeb 4.44.0.09170 2007.11.23 Trojan.EzulaAd

eSafe 7.0.15.0 2007.11.21 Suspicious File

eTrust-Vet 31.3.5318 2007.11.23 Win32/Abetear.H

Ewido 4.0 2007.11.23 -

FileAdvisor 1 2007.11.24 -

Fortinet 3.14.0.0 2007.11.23 -

F-Prot 4.4.2.54 2007.11.23 W32/Trojan2.HTX

F-Secure 6.70.13030.0 2007.11.23 Trojan.Win32.Obfuscated.kp

Ikarus T3.1.1.12 2007.11.23 Trojan.Fotomoto.F

Kaspersky 7.0.0.125 2007.11.21 Trojan.Win32.Obfuscated.kp

McAfee 5170 2007.11.23 Vundo.dr

Microsoft 1.3007 2007.11.23 -

NOD32v2 2682 2007.11.23 Win32/Adware.Ezula

Norman 5.80.02 2007.11.23 W32/Virtumonde.IIO

Panda 9.0.0.4 2007.11.23 Spyware/Virtumonde

Prevx1 V2 2007.11.24 ADWARE.FOTOMOTO.F

Rising 20.19.42.00 2007.11.23 Trojan.Win32.Obfuscated.kp

Sophos 4.23.0 2007.11.23 -

Sunbelt 2.2.907.0 2007.11.22 -

Symantec 10 2007.11.23 Adware.Ezula

TheHacker 6.2.9.139 2007.11.23 Trojan/Obfuscated.kp

VBA32 3.12.2.5 2007.11.23 Trojan.Win32.Obfuscated.kp

VirusBuster 4.3.26:9 2007.11.23 Adware.Vundo.V.Gen

Webwasher-Gateway 6.0.1 2007.11.23 Trojan.Fotomoto.F.1

Information additionnelle

File size: 71232 bytes

MD5: 16f5b3c9a16bb62ad52f22566cc7d573

SHA1: 8acaabb00bca60c8592b636f9354a6043dcdb1e9

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5...AAD0E00E5E6C52D

 

 

qyfvcnsm.exe

 

 

AhnLab-V3 2007.11.24.0 2007.11.23 Win-Trojan/Xema.variant

AntiVir 7.6.0.34 2007.11.23 TR/Click.MNB

Authentium 4.93.8 2007.11.21 W32/Downldr2.LUX

Avast 4.7.1074.0 2007.11.23 Win32:Tiny-JC

AVG 7.5.0.503 2007.11.23 Downloader.Generic5.QB

BitDefender 7.2 2007.11.23 Trojan.Clicker.MNB

CAT-QuickHeal 9.00 2007.11.23 TrojanDownloader.Tiny.id

ClamAV 0.91.2 2007.11.23 Trojan.Downloader-11250

DrWeb 4.44.0.09170 2007.11.23 Trojan.DownLoader.26570

eSafe 7.0.15.0 2007.11.21 -

eTrust-Vet 31.3.5318 2007.11.23 Win32/Secdrop.OF

Ewido 4.0 2007.11.23 Downloader.Tiny.id

FileAdvisor 1 2007.11.24 -

Fortinet 3.14.0.0 2007.11.23 -

F-Prot 4.4.2.54 2007.11.23 W32/Downldr2.LUX

F-Secure 6.70.13030.0 2007.11.23 Trojan-Downloader.Win32.Tiny.id

Ikarus T3.1.1.12 2007.11.23 Trojan-Clicker.MNB

Kaspersky 7.0.0.125 2007.11.21 Trojan-Downloader.Win32.Tiny.id

McAfee 5170 2007.11.23 Downloader-BEA

Microsoft 1.3007 2007.11.23 Trojan:Win32/Conhook.D

NOD32v2 2682 2007.11.23 Win32/TrojanDownloader.Tiny.ID

Norman 5.80.02 2007.11.23 W32/Tiny.AHZ

Panda 9.0.0.4 2007.11.23 Trj/Downloader.PJT

Prevx1 V2 2007.11.24 TROJAN.AGENT.GEN

Rising 20.19.42.00 2007.11.23 Trojan.DL.Win32.Tiny.id

Sophos 4.23.0 2007.11.23 Troj/DwnLdr-Gen

Sunbelt 2.2.907.0 2007.11.22 -

Symantec 10 2007.11.23 Trojan.Vundo

TheHacker 6.2.9.139 2007.11.23 Trojan/Downloader.Tiny.id

VBA32 3.12.2.5 2007.11.23 Trojan-Downloader.Win32.Tiny.id

VirusBuster 4.3.26:9 2007.11.23 Trojan.DL.Tiny.IJ

Webwasher-Gateway 6.0.1 2007.11.23 Trojan.Click.MNB

Information additionnelle

File size: 4672 bytes

MD5: 694d73f63b1ba6e7ee9c54b946ec58e0

SHA1: cd075dba60f2c77ee31771b5f48aa460c22f0c13

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5...9E97A00C3249A52

Lien Rag Full Patch Member

Lien Rag

Posté(e)
Posté(e)

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

 

[*]Double-clique sur OTMoveIt.exe pour le lancer.

[*]Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

[*]Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

 

C:\WINDOWS\system32\whbyefbj.exe

C:\WINDOWS\system32\qyfvcnsm.exe

 

[*]Clique sur MoveIt! pour lancer la suppression.

[*]Si OTMoveIt propose de redémarrer ton PC, accepte.

[*]Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

 

[*]Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

torkim Member

torkim

Posté(e)
  • Auteur
Posté(e)
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

 

[*]Double-clique sur OTMoveIt.exe pour le lancer.

[*]Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

[*]Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

[*]Clique sur MoveIt! pour lancer la suppression.

[*]Si OTMoveIt propose de redémarrer ton PC, accepte.

[*]Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

 

[*]Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

 

voici la réponse de OTMovelt

 

C:\WINDOWS\system32\whbyefbj.exe moved successfully.

C:\WINDOWS\system32\qyfvcnsm.exe moved successfully.

 

Created on 11/25/2007 22:59:17

Lien Rag Full Patch Member

Lien Rag

Posté(e)
Posté(e)

scan panda en ligne

 

préalablement , desactive antivirus actuel

 

Une fois sur le site Panda

décoche la case "me tenir au courant des dernières nouvelles ..." avant de lancer le scan, pour ne pas reçevoir de mails de leur part.

accepte de renseigner les champs, effectue le scan , poste le rapport de scan dans prochain message

 

details Panda use:

"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...