virus inconnu cmd exe Fermé

Question

Bonsoir je suis venu ici et j ai vu que je n etais pas le seul a avoir ce probleme. J ai essayé avec Smit et voila ce que ca donne :
J ai redemarré en mode sans echec et puis j ai lancé le programme 2, puis j ai redemarré puis je suis tjs infecté...
POurriez vous m aidez svp je sais plus quoi faire
merci d avance

SmitFraudFix v2.15

Rapport fait à 0:24:52,74 le 17/01/2006
Executé à partir de C:\Documents and Settings\moktar\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\moktar\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

moko · Answer

SmitFraudFix v2.15

Rapport fait à 0:29:20,47 le 17/01/2006
Executé à partir de C:\Documents and Settings\moktar\Mes documents\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

apres ça donne ca mais il y a tjs le meme probleme

jpdeclermont · Answer

bonsoir,

smitfraudfix est un outil de nettoyage spécifique :)

essaie de faire un premier nettoyage avec Ewido
http://download.ewido.net/ewido-setup.exe
Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite".
Clique sur mise à jour.

Clique sur scanner puis sur scan complet du système.

pour voir ce qu'il y a dans le ventre de ta bécane, il faut prendre ceci,
HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe-le dans un dossier particulier
Par exemple C:\hijackthis (mais en tout cas, sur le disque qui contient windows)

démo ici :
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance-le, clique sur "Do a system scan and save a log file"
colle le rapport sur le forum

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur

moko · Answer

Merci pour la reponse

est que ceci peux vous aider ?

this is a report processed by VirusTotal on 01/17/2006 at 00:40:53 (CET) after scanning the file "sfx.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.77 01.16.2006 no virus found
Avast 4.6.695.0 01.16.2006 no virus found
AVG 718 01.16.2006 no virus found
Avira 6.33.0.77 01.16.2006 no virus found
BitDefender 7.2 01.16.2006 no virus found
CAT-QuickHeal 8.00 01.16.2006 (Suspicious) - DNAScan
ClamAV devel-20051123 01.15.2006 no virus found
DrWeb 4.33 01.16.2006 Trojan.Proxy.640
eTrust-InoculateIT 23.71.50 01.16.2006 no virus found
eTrust-Vet 12.4.2044 01.16.2006 no virus found
Ewido 3.5 01.16.2006 no virus found
Fortinet 2.54.0.0 01.16.2006 no virus found
F-Prot 3.16c 01.16.2006 no virus found
Ikarus 0.2.59.0 01.16.2006 Trojan-Dropper.Win32.Agent.UH
Kaspersky 4.0.2.24 01.16.2006 no virus found
McAfee 4675 01.16.2006 no virus found
NOD32v2 1.1368 01.16.2006 a variant of Win32/TrojanProxy.Agent.FB
Norman 5.70.10 01.16.2006 no virus found
Panda 9.0.0.4 01.16.2006 Suspicious file
Sophos 4.01.0 01.17.2006 no virus found
Symantec 8.0 01.16.2006 no virus found
TheHacker 5.9.2.074 01.14.2006 no virus found
UNA 1.83 01.16.2006 no virus found
VBA32 3.10.5 01.16.2006 Trojan.Proxy.640

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.> Go to: Home Contact En español
--------------------------------------------------------------------------------
www.virustotal.com :: ©Hispasec Sistemas 2004,05 :: e-mail info@virustotal.com

jpdeclermont · Answer

re-

oui pour confirmer que tu as bien quelques bestioles :)

mais je te renvoie à mon message (2)
installe ewido et fais un scan(éventuellement en mode sans echec), ça va certainement enlever quelques trucs
puis poste un rapport Hijackthis qu'on puise vérifier ce qui ne va pas

mais plus ce soir pour moi .... dodo

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur

moko · Answer

OUI merci en tout cas pour ton message je suis en train de faire un scan avec ewido ....Effectivement je pense que j ai pas mal de sales petites betes.

moko · Answer

Voila le rapport :Logfile of HijackThis v1.99.1Scan saved at 01:15:27, on 17/01/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\sfx.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\explorer.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\ewido anti-malware\ewidoguard.exeC:\Program Files\ewido anti-malware\ewidoctrl.exeC:\Documents and Settings\moktar\Bureau\hijackthis_199\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {05C0F92B-15BE-416F-B865-6D2313CC9EEA} - C:\WINDOWS\System32	beyntvr.dll (file missing)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\yabaa.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: yabaa - C:\WINDOWS\SYSTEM32\yabaa.dllO23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\bW9rdGFy\command.exe (file missing)O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exeO23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exeO23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32
etdrvr.exe (file missing)O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe (file missing)O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)sinon j ai fini le scan et j ai nettoyé les fichiers infectés ...

jpdeclermont · Answer

re-

on voir le passage de Ewido :))

mais tu as une cochonnerie qu'on enlèvera pas comme ça ...
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\yabaa.dll
O20 - Winlogon Notify: yabaa - C:\WINDOWS\SYSTEM32\yabaa.dll

Télécharge processxp ici:
http://www.sysinternals.com/files/procexpnt.zip

Télécharge Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

déconnecte-toi du net.
Ferme toutes les applications en cours.

A faire dans l'ordre

1)
- Dézipper ProcessXP et double cliquer sur processxp.exe
- Dans la fenêtre principale de processxp, double cliquer sur winlogon.exe
- Dans la nouvelle fenêtre qui s'ouvre, cliquer sur threads.
- Ne sélectionner que les lignes qui contiennent yabaa.dll puis cliquer
sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.

2)
- Dans la fenêtre principale de processxp double clic sur explorer.exe
- Dans la nouvelle fenêtre qui s'ouvre cliquer sur threads
- Ne sélectionner que les lignes qui contiennent yabaa.dll puis cliquer
sur kill pour chacune des lignes trouvées.
- Une fois fait, valide OK.

3)
- Lancer HijackThis
- Cliquer sur "do a system scan only"
- Cocher la case au début de ces lignes:
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\yabaa.dll
O20 - Winlogon Notify: yabaa - C:\WINDOWS\SYSTEM32\yabaa.dll

- Valider avec "fix checked"

4)
- Double clique sur killbox.exe (Pocket Killbox)
- Cocher "delete on reboot"
- Dans "Full Path of File to Delete", copie et colle:
C:\WINDOWS\SYSTEM32\yabaa.dll

- Cliquer sur la croix rouge
- Une fenêtre apparaît pour confirmation, cliquer YES .
- Une seconde fenêtre te demande si tu veux redémarrer, clique sur YES.
si tu as un message comme ça, ignore-le et laisse redémarrer ou redémarre manuellement
PendingFileRenameOperationsRegistrydata has been removed by external Process

Laisse le pc redémarrer.

Et après reposte un log HijackThis.

bonne nuit :))

-------------------------------
... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur

moko · Answer

D abord un grand Merci  car je suis super content !!1) Apres le passage de ewido je n avais deja plus de cmd bizarre.2) Voici le rapport : Logfile of HijackThis v1.99.1Scan saved at 02:09:14, on 17/01/2006Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\ewido anti-malware\ewidoctrl.exeC:\Program Files\ewido anti-malware\ewidoguard.exeC:\WINDOWS\System32\ctfmon.exeC:\Documents and Settings\moktar\Mes documents\hijackthis_199\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {05C0F92B-15BE-416F-B865-6D2313CC9EEA} - C:\WINDOWS\System32	beyntvr.dll (file missing)O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\bW9rdGFy\command.exe (file missing)O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exeO23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exeO23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32
etdrvr.exe (file missing)O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe (file missing)O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)Est que c est bon ? Et est qu il y a d autres choses à eventuellement supprimer ? Je voulais aussi savoir comment se fait il que j ai choppé cette cochonnerie et comment faire pour ne plus la reprendre.Encore merci a vous

jpdeclermont · Answer

bonjour,oui tu peux faire plusieurs choses encore :)relance hijackthis, coches ces lignes et clique sur 'fix checked'O2 - BHO: (no name) - {05C0F92B-15BE-416F-B865-6D2313CC9EEA} - C:\WINDOWS\System32	beyntvr.dll (file missing)C:\WINDOWS\bW9rdGFy\command.exe (file missing) O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32
etdrvr.exe (file missing)O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\axdcfasb.exe (file missing)O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing) voilà pour le nettoyage, maintenant le SAVONtu n'as aucune protection  >>:|IMPERATIF :va lire ici :http://www.commentcamarche.net/faq/sujet-2432-S%E9curit%E9-Prot%E9ger-un-ordinateur-contre-les-malwares-d%27Internetinstalle un antivirus : Avast!installe un firewall : ZoneAlarm** pour Ewido : c'est une version essai 14 jours, on peut l'utiliser gratuitement après, mais la fonction "temps réel" ne marchera plus A lire de toute urgence:http://sebsauvage.net/safehex.htmlhttp://assiste.free.fr on veut bien te revoir sur les forums CCM mais pas pour des problèmes (de virus en particulier)   :))bonne journéea bientôt-------------------------------... WinErr 01B : Erreur illégale - Windows ne vous a pas autorisé à avoir cette erreur

moko · Answer

Bonjour dsl de la reponse tardive mais j etais occupé.

Sinon je tenais a te remercier pour ton aide JPdeclermont et oui t inquiete je passe souvent sur le forum , et je le conseille autour de moi à tous ce qui on un probleme :)

a plus

Virus inconnu cmd exe

10 réponses

Discussions similaires