[RESOLU] aide, troj_vundo.be rappro hjackthis

bruce lee · le 24 juillet 2006

re bonjour a tous,

avant de renommer ces deux fichiers en .old, j'aimerais voir le rapport de ewido...

Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

1/Télécharge http://www.ewido.net/en/download/ Ewido anti-spyware

Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.

Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"

Ferme Ewido. Ne pas le lancer tout de suite.

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

3/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

R3 - URLSearchHook: (no name) - <default> - (no file)

O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - (no file)

O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)

O4 - HKCU\..\Run: [sIDEBAR] "C:\Windows\Resources\Themes\DameK UltraBlue\Desktop Sidebar\sidebar.exe"

O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/advanced/cfw..._instmodule.exe

O16 - DPF: {64E27CFB-8B69-4B83-80F0-36A81437D587} - http://activex.camfrogweb.com/basic/cfweb_..._instmodule.exe

O16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} (TLIEFlashObj Class) - https://rtc4.webresponse.one.microsoft.com/...p/TLIEFlash.CAB

O20 - Winlogon Notify: wingsa32 - wingsa32.dll (file missing)

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

4/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

5/supprime ce qui est en gras:

C:\Windows\Resources\Themes\DameK UltraBlue\ Desktop Sidebar<== tout le dossier

6/ Du mode Sans Échec, lance Ewido et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.

Ewido affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. Ewido affichera "All actions have been applied" du côté droit.

Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

7/redemarre en mode normal

8/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.

bon courage, et si tu as la moindre question n'hesite surtout pas

@+

ciko_59 · le 25 juillet 2006

bjr a tous

j'ai suivi les instrcutions avec succés

au reboot j'ai tjrs le message suivant :

c:\windows\system32\ishost.exe

Le processeur NTVDM a rencontré une instruction non autorisée

CS : 070e IP:0106 OP: ff ff f9 ff fe

choisissez fermer pour mettre fin à l'application

et au reboot aussi Ediwo (qui tourne au demaragge d'apres ce que je vois) me dis malware sur les fichiers :

C:\Program Files\ORL\VNC\VNCHooks.dll

C:\Program Files\ORL\VNC\WinVNC.exe

C:\Program Files\Real\VNC\VNC4\WinVNC4.exe

j'ai fait ignore por l'instant

au fait, j'ai pas renommer les fichiers d'hier

VOICI LES RAPPORTS

EDIWO

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

+ Created at: 10:42:55 25/07/2006

+ Scan result:

HKU\S-1-5-21-3666875560-2347126982-119465411-1007\Software\Microsoft\Internet Explorer\URLSearchHooks\{944864A5-3916-46E2-96A9-A2E84F3F1208} -> Adware.Accoona : Cleaned with backup (quarantined).

HKU\S-1-5-21-3666875560-2347126982-119465411-1007\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{944864A5-3916-46E2-96A9-A2E84F3F1208} -> Adware.Accoona : Cleaned with backup (quarantined).

C:\Program Files\themexp\Themexp.org File\VVSNInst.exe -> Adware.SaveNow : Cleaned with backup (quarantined).

C:\System Volume Information\_restore{126DECE4-BF5A-4C45-B448-087B466AD9D7}\RP3\A0002296.dll -> Adware.Virtumonde : Cleaned with backup (quarantined).

C:\WINDOWS\system32\tuvusts.dll.vir -> Adware.Virtumonde : Cleaned with backup (quarantined).

C:\Program Files\ORL\VNC\VNCHooks.dll -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignored.

C:\Program Files\ORL\VNC\WinVNC.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignored.

C:\Program Files\ORL\VNC\vncviewer.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.333 : Ignored.

C:\Program Files\RealVNC\VNC4\winvnc4.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4110 : Ignored.

:mozilla.6:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.7:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.8:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.

:mozilla.10:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.11:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.12:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.13:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.14:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.9:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.148:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Adserver : Cleaned.

:mozilla.149:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Adserver : Cleaned.

:mozilla.21:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.

:mozilla.22:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.

:mozilla.182:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.

:mozilla.169:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.

:mozilla.170:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.

:mozilla.171:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.

:mozilla.162:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Enhance : Cleaned.

:mozilla.49:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Estat : Cleaned.

:mozilla.66:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Ivwbox : Cleaned.

:mozilla.198:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Onestat : Cleaned.

:mozilla.199:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Onestat : Cleaned.

:mozilla.84:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Overture : Cleaned.

:mozilla.85:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Overture : Cleaned.

:mozilla.43:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Ru4 : Cleaned.

:mozilla.44:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Ru4 : Cleaned.

:mozilla.45:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Ru4 : Cleaned.

:mozilla.46:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Ru4 : Cleaned.

:mozilla.102:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.103:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.104:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.105:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.161:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.

:mozilla.174:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.

:mozilla.175:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.

:mozilla.176:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Sitestat : Cleaned.

:mozilla.261:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.262:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.263:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.

:mozilla.115:C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.

C:\Program Files\Fichiers communs\{FC702006-06A4-1036-1002-020522200021}\Update.exe -> Trojan.Starter.65 : Cleaned with backup (quarantined).

C:\System Volume Information\_restore{126DECE4-BF5A-4C45-B448-087B466AD9D7}\RP4\A0003324.exe -> Trojan.Starter.65 : Cleaned with backup (quarantined).

::Report end

ET HIJACKTHIS

Logfile of HijackThis v1.99.1

Scan saved at 10:49:22, on 25/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\Windows\System32\smss.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\spoolsv.exe

C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe

C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe

C:\Windows\Cpqdiag\Cpqdfwag.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Windows\System32\inetsrv\inetinfo.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Windows\System32\NMSSvc.exe

C:\OfficeScan NT\ntrtscan.exe

C:\OfficeScan NT\OfcPfwSvc.exe

C:\Windows\System32\svchost.exe

C:\OfficeScan NT\tmlisten.exe

C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe

C:\Program Files\ORL\VNC\WinVNC.exe

C:\Program Files\RealVNC\VNC4\WinVNC4.exe

C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe

C:\WINDOWS\TEMP\DX6A8D.EXE

C:\Windows\system32\wuauclt.exe

C:\Windows\Explorer.EXE

C:\OfficeScan NT\pccntmon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Windows\system32\wuauclt.exe

C:\Windows\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Documents and Settings\jeherbin\Bureau\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sezam/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/040C/bl8.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/040C/bl7.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.compaq.com/1Q00CDT/040C/bl7.asp

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxys:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = omnivista;sezam;150.1.10.6;http://kidam;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKLM\..\RunServices: [CPQDFWAG] C:\Windows\Cpqdiag\CpqDfwAg.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Windows\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Windows\System32\msjava.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1150811665156

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1....g/GoogleNav.cab

O16 - DPF: {CAFEEFAC-0014-0001-0006-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.1_06) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{73702708-2322-43D0-BCB8-BDE17D9E0A4A}: Domain = lmcu.fr

O17 - HKLM\System\CS1\Services\Tcpip\..\{73702708-2322-43D0-BCB8-BDE17D9E0A4A}: Domain = lmcu.fr

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: WgaLogon - C:\Windows\SYSTEM32\WgaLogon.dll

O23 - Service: Compaq Local Alerter (CPQALERT) - Hewlett-Packard Company - C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe

O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe

O23 - Service: Compaq DMI Web Agent (cpqWebDmi) - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe

O23 - Service: Remote Diagnostics Enabling Agent (DfwWebAgent) - Hewlett Packard - C:\Windows\Cpqdiag\Cpqdfwag.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\Windows\System32\NMSSvc.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe

O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe

O23 - Service: wampapache - Unknown owner - c:\wamp\apache2\bin\Apache.exe" -k runservice (file missing)

O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe

O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\ORL\VNC\WinVNC.exe" -service (file missing)

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

MERCI POUR VOTRE AIDE

bruce lee · le 25 juillet 2006

Bonjour,

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

2/ Dézipper la totalité de l'archive sur ton bureau.

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

ciko_59 · le 25 juillet 2006

re

voici le rapport (a la fin de mes misères, il faudra que tu me fasses un resumé de tout ces outils qui ont l'air tres interessant à utiliser -) )

SmitFraudFix v2.75b

Rapport fait à 12:10:35,93, 25/07/2006

Executé à partir de C:\Documents and Settings\jeherbin\Bureau\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

C:\Windows\system32\ishost.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jeherbin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jeherbin\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="http://wallpaper-land.com/xorg.php?categ=3d&souscateg=3D_Formes&reso=1024&nom=3dformes15mars49"'>http://wallpaper-land.com/xorg.php?categ=3d&souscateg=3D_Formes&reso=1024&nom=3dformes15mars49"

"SubscribedURL"="http://wallpaper-land.com/xorg.php?categ=3d&souscateg=3D_Formes&reso=1024&nom=3dformes15mars49"

"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

bruce lee · le 25 juillet 2006

re,

voici le rapport (a la fin de mes misères, il faudra que tu me fasses un resumé de tout ces outils qui ont l'air tres interessant à utiliser -) )

Ok, pas de problemes

Ok, smitfraudfix detecte bien le fichier, mais vu qu'il ne detecte que ce fichier on va le supprimer manuellement pour economiser un redemarrage.

1/ supprime ce qui est en gras:

C:\Windows\system32\ ishost.exe <== le fichier

2/Fais un scan en ligne avec http://webscanner.kaspersky.fr/

Sous Démonstration en ligne , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner Exécuter l'analyse en ligne .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme

décrit sur ce lien=> http://www.inoculer.com/activex.php3

NOTE: le scan est a faire avec Internet Explorer

@+ et bon courage

ciko_59 · le 25 juillet 2006

re

j'ai supprimé ishost.Exe

mais je n'arrive pas a ytiliser l'antivirus en ligne

pb : ÉCHEC du processus de mise à jour. Aucune autre action ne peut être réalisée par l'antivirus !

j'ai ie et il arrive pourtant a initialiser l'antivirus

dois je utiliser la version d'eval que l'on peut telecharger ?

bruce lee · le 25 juillet 2006

re,

réessaye encore une fois chez kaspersky, et si ca ne marche pas fais le scan chez pada:

http://www.pandasoftware.com/activescan/fr...n_principal.htm

tuto pour panda http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

ciko_59 · le 25 juillet 2006

re

ci joint rapport

ActiveScan

Incident Statut Analyse

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt[fe.lea.lycos.fr/]

Spyware:Cookie/Netster No Désinfecté C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt[lb3.netster.com/]

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\jeherbin\Bureau\SmitfraudFix\SmitfraudFix\Process.exe

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\jeherbin\Bureau\SmitfraudFix.zip[smitfraudFix/Process.exe]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\jeherbin\Cookies\jeherbin@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\jeherbin\Local Settings\Temp\nsvC.tmp

Adware:Adware/Maxifiles No Désinfecté C:\Documents and Settings\jeherbin\Local Settings\Temp\win28F5.tmp.exe

Spyware:Spyware/Virtumonde No Désinfecté C:\Program Files\Fichiers communs\{FC702006-06A4-1036-1002-020522200021}\services.dll

bruce lee · le 25 juillet 2006

re,

1/ Télécharge et installe EasyCleaner de Toni Helenius: http://personal.inet.fi/business/toniarts/ecleane.htm

2/ Redémarre en mode sans échec.

(au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

3/ Execute EasyCleaner: Utilise les fonctions "Inutiles" et "Registre" seulement. Ne touche pas à la fonction "doublons".

4/ supprime ce qui est en gras:

C:\Program Files\Fichiers communs\ {FC702006-06A4-1036-1002-020522200021}<== toute la clé

5/ redemarre en mode normal

6/ supprime smitfraudfix qui se trouve sur ton bureau

7/lance firefox clique sur outils (en haut de ton ecran) puis sur options... tu vas dans

l'onglet Vie privée tu cliques ensuite sur l'onglet Cookies et enfin sur

Supprimer les cookies.

8/ refais un scan en ligne et post le rapport.

Modifié le 25 juillet 2006 par bruce lee

ciko_59 · le 26 juillet 2006

re

J'ai fait EasyCleaner (il a pas reussi a me virer 2 fichiers inutiles)

j'ai viré la clé dans fichiers communs

j'ai viré les cookies de ie (désolé j'ai pas firefox)

j'ai lancé Offiscan

et

ci joint nouveau rapport

Incident Statut Analyse

Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt[fe.lea.lycos.fr/]

Spyware:Cookie/Netster No Désinfecté C:\Documents and Settings\jeherbin\Application Data\Mozilla\Firefox\Profiles\i327mtfj.default\cookies.txt[lb3.netster.com/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\jeherbin\Cookies\jeherbin@xiti[1].txt

Adware:Adware/Maxifiles No Désinfecté C:\Documents and Settings\jeherbin\Local Settings\Temp\win28F5.tmp.exe

Spyware:Cookie/Tradedoubler No Désinfecté C:\RECYCLER\S-1-5-21-3666875560-2347126982-119465411-1007\Dc102.txt

Spyware:Cookie/Xiti No Désinfecté C:\RECYCLER\S-1-5-21-3666875560-2347126982-119465411-1007\Dc126.txt

Spyware:Cookie/Adtech No Désinfecté C:\RECYCLER\S-1-5-21-3666875560-2347126982-119465411-1007\Dc132.txt

Spyware:Spyware/Virtumonde No Désinfecté C:\RECYCLER\S-1-5-21-3666875560-2347126982-119465411-1007\Dc3216\services.dll

Outil indésirable:Application/Processor No Désinfecté C:\RECYCLER\S-1-5-21-3666875560-2347126982-119465411-1007\Dc33.tmp

Spyware:Spyware/Virtumonde No Désinfecté C:\RECYCLER\S-1-5-21-3666875560-2347126982-119465411-1007\Dc83.old

Connexion

Pas encore inscrit ?

[RESOLU] aide, troj_vundo.be rappro hjackthis

Messages recommandés

bruce lee

ciko_59

bruce lee

ciko_59

bruce lee

ciko_59

bruce lee

ciko_59

bruce lee

ciko_59

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer