Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infections multiples

Tom Delacroix

Par Tom Delacroix
dans Analyses et éradication malwares

 Partager

Messages recommandés

Tom Delacroix Power Member

Tom Delacroix

Posté(e)
Posté(e)

Bonjour à tous,

voilà, depuis qqu temps, j'ai subi plusieurs infections diverses dont "Virtumonde".

Mon antivirus est incompétent face à cette infection (j'utilise avast ... et oui je sais ...)

J'ai effectué une analyse HiJackThis, voici le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:36:30, on 09/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ALCXMNTR.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\******\Mes fichiers reçus\wrar37b8\WinRAR.exe

C:\DOCUME~1\Ingrid\LOCALS~1\Temp\Rar$EX01.453\HijackThis.exe

C:\DOCUME~1\Ingrid\LOCALS~1\Temp\Rar$EX03.766\HijackThis.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe

O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{068FCC12-FC05-424C-AE24-6D54039C461B}: NameServer = 86.64.145.141 84.103.237.141

O17 - HKLM\System\CS1\Services\Tcpip\..\{068FCC12-FC05-424C-AE24-6D54039C461B}: NameServer = 86.64.145.141 84.103.237.141

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

 

--

End of file - 4410 bytes

Un grand merci d'avance :P

Lien vers le commentaire
Partager sur d’autres sites

Jorginho67 Member

Jorginho67

Posté(e)
Posté(e)

Salut !

Pas de lignes 02 ni 020, ça sent l'infection Vundo !

 

Fais un clic droit sur hijackthis,

choisis "renommer" marque (tu écris) : <gras>zebulon</gras>.exe

 

Pourquoi renommer Hijackthis ?

Parce que certaines infections Vundo ont la particularité de se "cacher" à la

détection de HJT proprement dite ou à son analyse .

la modification du nom de l'exe pallie ce problème...

 

Poste moi un nouveau log après avoir renommé HJT's !

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport .

 

@+

Lien vers le commentaire
Partager sur d’autres sites
Tom Delacroix Power Member

Tom Delacroix

Posté(e)
  • Auteur
Posté(e)

Tout d'abord merci de ta réactivité :P

Voici le nouveau rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:03:30, on 09/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Documents and Settings\Ingrid\Bureau\ZEBULON.exe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1F67F0D4-BBAE-485D-9B5D-DFFE7B111584} - C:\WINDOWS\system32\pmnnk.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {63B8878C-7201-4ADF-A2F9-856542BB8835} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {D99E7495-92DE-406C-956C-564A51F8C1A3} - C:\WINDOWS\system32\ddaya.dll (file missing)

O2 - BHO: (no name) - {E0EA1F31-B58F-47E8-A185-20C52DF9F168} - C:\WINDOWS\system32\hgggggh.dll

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe

O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{068FCC12-FC05-424C-AE24-6D54039C461B}: NameServer = 86.64.145.141 84.103.237.141

O17 - HKLM\System\CS1\Services\Tcpip\..\{068FCC12-FC05-424C-AE24-6D54039C461B}: NameServer = 86.64.145.141 84.103.237.141

O20 - Winlogon Notify: hgggggh - C:\WINDOWS\SYSTEM32\hgggggh.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

 

--

End of file - 5252 bytes

Lien vers le commentaire
Partager sur d’autres sites
Jorginho67 Member

Jorginho67

Posté(e)
Posté(e)

re :

 

Tu es infecté par Vundo, un adware dont la fonction est d'afficher des fenêtres publicitaires intempestives en faisant souvent la promotion de logiciels douteux tels que Spyware Secure. I

Il utilise diverses techniques pour tenter d'empêcher sa désinstallation.

 

 

Attention aux sites que tu visites !!!

 

* Télécharge VundoFix.exe (par Atribune) et enregistre-le sur ton bureau.

 

http://www.atribune.org/content/view/24/2/

 

 

* Clique sur le bouton Scan for Vundo.

* Lorsque le scan est complété, clique sur le bouton Remove Vundo.

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

* Tu verra une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

 

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

 

Virtumondebegone

 

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

poste les rapports

 

@ +

Lien vers le commentaire
Partager sur d’autres sites
Tom Delacroix Power Member

Tom Delacroix

Posté(e)
  • Auteur
Posté(e)

J'ai effectué les deux analyses, mais malgrés l'éradiction des malwares, ceux-ci sont réapparus lors de la connection à Internet ...

Je ne sais pas quoi faire d'autres. Est-ce que quelqu'uns aurait une solution à me proposer ?

 

VundoFix :

VundoFix V6.7.8

 

Checking Java version...

 

Scan started at 19:19:42 09/02/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\awtqron.dll

C:\WINDOWS\system32\awttsqr.dll

C:\WINDOWS\system32\cbxvuuu.dll

C:\WINDOWS\system32\cbxxwtr.dll

C:\WINDOWS\system32\ddcabcc.dll

C:\WINDOWS\system32\gebawww.dll

C:\WINDOWS\system32\hgggggh.dll

C:\WINDOWS\system32\jkkjhfd.dll

C:\WINDOWS\system32\knnmp.ini

C:\WINDOWS\system32\knnmp.ini2

C:\WINDOWS\system32\pmnnk.dll

C:\WINDOWS\system32\ssqomkh.dll

C:\WINDOWS\system32\urqonlj.dll

C:\WINDOWS\system32\xxyywxy.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\awtqron.dll

C:\WINDOWS\system32\awtqron.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\awttsqr.dll

C:\WINDOWS\system32\awttsqr.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\cbxvuuu.dll

C:\WINDOWS\system32\cbxvuuu.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\cbxxwtr.dll

C:\WINDOWS\system32\cbxxwtr.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ddcabcc.dll

C:\WINDOWS\system32\ddcabcc.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\gebawww.dll

C:\WINDOWS\system32\gebawww.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\hgggggh.dll

C:\WINDOWS\system32\hgggggh.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\jkkjhfd.dll

C:\WINDOWS\system32\jkkjhfd.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\knnmp.ini

C:\WINDOWS\system32\knnmp.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\knnmp.ini2

C:\WINDOWS\system32\knnmp.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\pmnnk.dll

C:\WINDOWS\system32\pmnnk.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\ssqomkh.dll

C:\WINDOWS\system32\ssqomkh.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\urqonlj.dll

C:\WINDOWS\system32\urqonlj.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\xxyywxy.dll

C:\WINDOWS\system32\xxyywxy.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\hgggggh.dll

C:\WINDOWS\system32\hgggggh.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\knnmp.ini

C:\WINDOWS\system32\knnmp.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\knnmp.ini2

C:\WINDOWS\system32\knnmp.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\pmnnk.dll

C:\WINDOWS\system32\pmnnk.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

VundoFix V6.7.8

 

Checking Java version...

 

Scan started at 20:11:24 09/02/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\dgjlm.ini

C:\WINDOWS\system32\dgjlm.ini2

C:\WINDOWS\system32\gebcddd.dll

C:\WINDOWS\system32\hgggggh.dll

C:\WINDOWS\system32\mljgd.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\dgjlm.ini

C:\WINDOWS\system32\dgjlm.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\dgjlm.ini2

C:\WINDOWS\system32\dgjlm.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\gebcddd.dll

C:\WINDOWS\system32\gebcddd.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\hgggggh.dll

C:\WINDOWS\system32\hgggggh.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\mljgd.dll

C:\WINDOWS\system32\mljgd.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\gebcddd.dll

C:\WINDOWS\system32\gebcddd.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\hgggggh.dll

C:\WINDOWS\system32\hgggggh.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

VBG :

[02/09/2008, 19:57:45] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Ingrid\Bureau\VirtumundoBeGone.exe" )

[02/09/2008, 19:57:49] - Detected System Information:

[02/09/2008, 19:57:49] - Windows Version: 5.1.2600, Service Pack 2

[02/09/2008, 19:57:49] - Current Username: Ingrid (Admin)

[02/09/2008, 19:57:49] - Windows is in NORMAL mode.

[02/09/2008, 19:57:50] - Searching for Browser Helper Objects:

[02/09/2008, 19:57:50] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)

[02/09/2008, 19:57:50] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)

[02/09/2008, 19:57:50] - BHO 3: {63B8878C-7201-4ADF-A2F9-856542BB8835} ()

[02/09/2008, 19:57:50] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 19:57:50] - No filename found. Continuing.

[02/09/2008, 19:57:50] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[02/09/2008, 19:57:50] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()

[02/09/2008, 19:57:50] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 19:57:50] - No filename found. Continuing.

[02/09/2008, 19:57:50] - BHO 6: {8DBF7002-FC8D-427E-BC31-E2F32B1DDF10} ()

[02/09/2008, 19:57:50] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 19:57:50] - Checking for HKLM\...\Winlogon\Notify\pmnnk

[02/09/2008, 19:57:50] - Key not found: HKLM\...\Winlogon\Notify\pmnnk, continuing.

[02/09/2008, 19:57:50] - BHO 7: {D99E7495-92DE-406C-956C-564A51F8C1A3} ()

[02/09/2008, 19:57:50] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 19:57:50] - Checking for HKLM\...\Winlogon\Notify\ddaya

[02/09/2008, 19:57:50] - Key not found: HKLM\...\Winlogon\Notify\ddaya, continuing.

[02/09/2008, 19:57:50] - BHO 8: {E0EA1F31-B58F-47E8-A185-20C52DF9F168} ()

[02/09/2008, 19:57:50] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 19:57:50] - Checking for HKLM\...\Winlogon\Notify\hgggggh

[02/09/2008, 19:57:50] - Key not found: HKLM\...\Winlogon\Notify\hgggggh, continuing.

[02/09/2008, 19:57:50] - Finished Searching Browser Helper Objects

[02/09/2008, 19:57:50] - Finishing up...

[02/09/2008, 19:57:50] - Nothing found! Exiting...

 

[02/09/2008, 21:58:12] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Ingrid\Bureau\VirtumundoBeGone.exe" )

[02/09/2008, 21:58:17] - Detected System Information:

[02/09/2008, 21:58:17] - Windows Version: 5.1.2600, Service Pack 2

[02/09/2008, 21:58:17] - Current Username: Ingrid (Admin)

[02/09/2008, 21:58:17] - Windows is in NORMAL mode.

[02/09/2008, 21:58:17] - Searching for Browser Helper Objects:

[02/09/2008, 21:58:17] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)

[02/09/2008, 21:58:17] - BHO 2: {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} ()

[02/09/2008, 21:58:17] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 21:58:18] - Checking for HKLM\...\Winlogon\Notify\gebcddd

[02/09/2008, 21:58:18] - Key not found: HKLM\...\Winlogon\Notify\gebcddd, continuing.

[02/09/2008, 21:58:18] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)

[02/09/2008, 21:58:18] - BHO 4: {63B8878C-7201-4ADF-A2F9-856542BB8835} ()

[02/09/2008, 21:58:18] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 21:58:18] - No filename found. Continuing.

[02/09/2008, 21:58:18] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[02/09/2008, 21:58:18] - BHO 6: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()

[02/09/2008, 21:58:18] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 21:58:18] - No filename found. Continuing.

[02/09/2008, 21:58:18] - BHO 7: {8DBF7002-FC8D-427E-BC31-E2F32B1DDF10} ()

[02/09/2008, 21:58:18] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 21:58:18] - Checking for HKLM\...\Winlogon\Notify\pmnnk

[02/09/2008, 21:58:18] - Key not found: HKLM\...\Winlogon\Notify\pmnnk, continuing.

[02/09/2008, 21:58:18] - BHO 8: {D99E7495-92DE-406C-956C-564A51F8C1A3} ()

[02/09/2008, 21:58:18] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 21:58:19] - Checking for HKLM\...\Winlogon\Notify\ddaya

[02/09/2008, 21:58:19] - Key not found: HKLM\...\Winlogon\Notify\ddaya, continuing.

[02/09/2008, 21:58:19] - BHO 9: {E0EA1F31-B58F-47E8-A185-20C52DF9F168} ()

[02/09/2008, 21:58:19] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 21:58:19] - Checking for HKLM\...\Winlogon\Notify\hgggggh

[02/09/2008, 21:58:19] - Key not found: HKLM\...\Winlogon\Notify\hgggggh, continuing.

[02/09/2008, 21:58:19] - BHO 10: {F724B51A-7686-4479-B668-B39C66B6AE8F} ()

[02/09/2008, 21:58:19] - WARNING: BHO has no default name. Checking for Winlogon reference.

[02/09/2008, 21:58:19] - Checking for HKLM\...\Winlogon\Notify\mljgd

[02/09/2008, 21:58:19] - Key not found: HKLM\...\Winlogon\Notify\mljgd, continuing.

[02/09/2008, 21:58:19] - Finished Searching Browser Helper Objects

[02/09/2008, 21:58:19] - Finishing up...

[02/09/2008, 21:58:19] - Nothing found! Exiting...

:P :P :P

Lien vers le commentaire
Partager sur d’autres sites
Jorginho67 Member

Jorginho67

Posté(e)
Posté(e)

Re :

 

Option 2 !

 

Double-clique VundoFix.exe afin de le lancer.

Ne clique pas sur le bouton Scan for Vundo mais fais un clic droit dans la fenêtre blanche et clique "Add more files?"

Dans la nouvelle fenêtre qui apparait, Copie/colle le chemin du fichier suivant dans la première case (au haut):

 

C:\WINDOWS\system32\gebcddd.dll

 

Copie/colle le chemin du fichier suivant dans la seconde case (au centre):

 

C:\WINDOWS\system32\hgggggh.dll

 

Clique sur le bouton "Add File(s)"

Clique sur le bouton "Close Window"

Clique à nouveau sur "Remove Vundo"

Une invite te demandera si tu veux supprimer les fichiers, clique YES

Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK

Démarre ton PC à nouveau.

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

 

Remarques : il n y a possibilité que de mettre 3 dll a la fois, apres il faut relancer l outil.

 

@ suivre....

Lien vers le commentaire
Partager sur d’autres sites
Tom Delacroix Power Member

Tom Delacroix

Posté(e)
  • Auteur
Posté(e)

Re, :P, merci pour ta patience.

Nouveau rapport HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:46:08, on 09/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\vsnpstd2.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Documents and Settings\Ingrid\Bureau\ZEBULON.exe.exe

C:\WINDOWS\system32\WinSpooler.exe

C:\WINDOWS\system32\WinSpooler.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\system32\wuauclt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {42A44A09-3A1E-4BA2-B14C-D8398E0C3317} - C:\WINDOWS\system32\gebcddd.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {63B8878C-7201-4ADF-A2F9-856542BB8835} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {8DBF7002-FC8D-427E-BC31-E2F32B1DDF10} - C:\WINDOWS\system32\pmnnk.dll (file missing)

O2 - BHO: (no name) - {CE188AF9-4F6B-4326-83A1-9ADE2CBFBC6A} - C:\WINDOWS\system32\vtuts.dll

O2 - BHO: (no name) - {D99E7495-92DE-406C-956C-564A51F8C1A3} - C:\WINDOWS\system32\ddaya.dll (file missing)

O2 - BHO: (no name) - {E0EA1F31-B58F-47E8-A185-20C52DF9F168} - C:\WINDOWS\system32\hgggggh.dll

O2 - BHO: (no name) - {F724B51A-7686-4479-B668-B39C66B6AE8F} - C:\WINDOWS\system32\mljgd.dll (file missing)

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe

O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{068FCC12-FC05-424C-AE24-6D54039C461B}: NameServer = 86.64.145.140 84.103.237.140

O17 - HKLM\System\CS1\Services\Tcpip\..\{068FCC12-FC05-424C-AE24-6D54039C461B}: NameServer = 86.64.145.140 84.103.237.140

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 5726 bytes

Lien vers le commentaire
Partager sur d’autres sites
Jorginho67 Member

Jorginho67

Posté(e)
Posté(e) (modifié)

re !

 

Télécharge le programme Submit File Packer d'ici

  • redémarre le pc impérativement en mode sans échec=> très important!!
  • Ouvre le programme Submit File Packer et copie/colle les chemins de fichier suivants dans la fenêtre qui s'est ouverte:
     
    C:\WINDOWS\system32\WinUpdating.exe
    C:\WINDOWS\system32\WinSpooler.exe
    C:\WINDOWS\system\WinSpooler.exe
    C:\WINDOWS\system\WinUpdating.exe
     
     
  • clique sur le bouton"Continue"
  • Cela va créer une archive de ce fichier sur ton bureau nommée "requested files[date].cab"
  • Redémarre ton pc normalement.
  • Stp rend toi sur cette page afin d'héberger le fichier ici > http://www.sendspace.com
  • Clique sur Parcourir pour chercher le fichier en question . Une fois trouvé, sélectionne le puis clique sur le bouton Ouvrir.
  • Coche la case "I have read and agree to the terms of service."
  • Clique enfin sur le bouton Upload File .
  • Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp;

Modifié par Frank Castle
Lien vers le commentaire
Partager sur d’autres sites
Jorginho67 Member

Jorginho67

Posté(e)
Posté(e)

Ok, merci !

 

Ca permettra au developeurs de vérifier ces fichies inconnus....

 

pour y voir plus clair :

 

Relance HijackThis, choisis "do a scan only"

coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

 

O2 - BHO: (no name) - {63B8878C-7201-4ADF-A2F9-856542BB8835} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {8DBF7002-FC8D-427E-BC31-E2F32B1DDF10} - C:\WINDOWS\system32\pmnnk.dll (file missing)

O2 - BHO: (no name) - {D99E7495-92DE-406C-956C-564A51F8C1A3} - C:\WINDOWS\system32\ddaya.dll (file missing)

O2 - BHO: (no name) - {E0EA1F31-B58F-47E8-A185-20C52DF9F168} - C:\WINDOWS\system32\hgggggh.dll

O2 - BHO: (no name) - {F724B51A-7686-4479-B668-B39C66B6AE8F} - C:\WINDOWS\system32\mljgd.dll (file missing)

O2 - BHO: (no name) - {F724B51A-7686-4479-B668-B39C66B6AE8F} - C:\WINDOWS\system32\mljgd.dll (file missing)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

 

 

http://pageperso.aol.fr/balltrap34/demohijack.htm Comment fixer les lignes <---- voir ici

http://pageperso.aol.fr/balltrap34/demohijack.htm Générer un rapport <----- voir ici

 

ensuite :

 

Ces deux fichiers sont egalement suspects, mais il vaut mieux en etre sur donc :

 

Rend toi sur ce site :

http://www.virustotal.com/xhtml/virustotal_en.html

Clik sur parcourir

Recherche ceci :

 

C:\WINDOWS\system32\vtuts.dll

 

Clik send et colle le rapport stp

 

Télécharge http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe OTMoveIt (de Old_Timer) sur ton Bureau.

 

double-clique sur OTMoveIt.exe pour le lancer.

copie la liste qui se trouve en citation ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved.

 

C:\WINDOWS\system32\gebcddd.dll

 

clique sur MoveIt! pour lancer la suppression.

le résultat apparaitra dans le cadre "Results".

clique sur Exit pour fermer.

poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.

si c'est le cas accepte par Yes.

 

 

ensuite refais un passage Vundofix et poste moi rapports suivants stp !

1) virus total

2) OTmoveIT

3) Vundofix

4)Hijackthis

 

 

 

@ suivre........

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...