Trojan conhook.L

Question

Bonjour chers informaticiens!

Je vous apelle à l'aider... J'ai été infectée par plusieurs virus ou trojans, et je n'arrive pas à les supprimer, même après avoir essayé de suivre vos conseils dans les sujets simillaires...
Alors donc pour vous aider, je vous met mon scan en copier coller c dessous.
Pour info : j'ai win XP familial, kerio firewall et antivir. J'ai installé ad aware se, spybot (qui me trouve des traceurs (2))

Logfile of HijackThis v1.99.1
Scan saved at 11:53:12, on 15/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\WinAce\WinAce.exe
C:\DOCUME~1\MARIEB~1\LOCALS~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [eMusicClient] C:\Program Files\Winamp\eMusic\eMusicClient.exe
O4 - HKLM\..\Run: [Windows USB controler] winusb.exe
O4 - HKLM\..\Run: [grgr] "C:\WINDOWS\win.dll.exe "
O4 - HKLM\..\Run: [kjllfd] C:\WINDOWS\System32\qwaszxf\kolder.exe C:\WINDOWS\System32\qwaszxf\dirote.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows USB controler] winusb.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [kjllfd] C:\WINDOWS\System32\qwaszxf\kolder.exe C:\WINDOWS\System32\qwaszxf\dirote.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\RunServices: [Windows USB controler] winusb.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: sstqr - sstqr.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

et voici pour bitdefender :
BitDefender Online Scanner

Rapport d'analyse généré à: Thu, Apr 13, 2006 - 13:35:44

Voie d'analyse: C:\;D:\;

Statistiques

Temps
01:05:53

Fichiers
224475

Directoires
2114

Secteurs de boot
2

Archives
6407

Paquets programmes
28654

Résultats

Virus identifiés
7

Fichiers infectés
8

Fichiers suspects
1

Avertissements
0

Désinfectés
0

Fichiers effacés
9

Info sur les moteurs

Définition virus
369673

Version des moteurs
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Analyse des plugins
13

Archive des plugins
39

Unpack des plugins
4

E-mail plugins
6

Système plugins
1

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions

Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui

Fichier analysé
Statut

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Infecté par: Trojan.Bat.Secdrop.FW

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Infecté par: Trojan.WinREG.LowZones.A

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\WINDOWS\blank.html
Infecté par: Trojan.HE.Flys.B

C:\WINDOWS\blank.html
Echec de la désinfection

C:\WINDOWS\blank.html
Supprimé

C:\WINDOWS\mscommx.exe
Suspecté de: Generic.Malware.SY.5013DDCA

C:\WINDOWS\mscommx.exe
Echec de la désinfection

C:\WINDOWS\mscommx.exe
Supprimé

C:\WINDOWS\mtu.bat
Infecté par: Trojan.Bat.Secdrop.FW

C:\WINDOWS\mtu.bat
Echec de la désinfection

C:\WINDOWS\mtu.bat
Supprimé

C:\WINDOWS\system32\lki.txt
Infecté par: Backdoor.BotGet.FtpB.Gen

C:\WINDOWS\system32\lki.txt
Supprimé

C:\WINDOWS\system32\qwaszxf\demo.xt
Infecté par: IRC.Worm.Randon.AX

C:\WINDOWS\system32\qwaszxf\demo.xt
Echec de la désinfection

C:\WINDOWS\system32\qwaszxf\demo.xt
Supprimé

C:\WINDOWS\system32\qwaszxf\kolder.exe
Infecté par: Virtool.HiddenRun.B

C:\WINDOWS\system32\qwaszxf\kolder.exe
Echec de la désinfection

C:\WINDOWS\system32\qwaszxf\kolder.exe
Supprimé

C:\WINDOWS\system32\svc.exe
Infecté par: Trojan.Proxy.Bobax.C

C:\WINDOWS\system32\svc.exe
Echec de la désinfection

C:\WINDOWS\system32\svc.exe
Supprimé

Pourriez vous me donner des conseils pour m'en sortir svp?
A bientôt,

Marie

Afficher la suite

bernie61 · Answer

hello
0. Installe ce nettoyeur CCLEANER https://www.ccleaner.com/ ou lien direct là http://www.filehippo.com/download_ccleaner.html (la flèche)
Tutorial là https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
ensuite
*Configure ton ordi pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers

2. Relances Hijackthis et coche (puis FIX)
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O4 - HKLM\..\Run: [Windows USB controler] winusb.exe
O4 - HKLM\..\Run: [grgr] "C:\WINDOWS\win.dll.exe "
O4 - HKLM\..\Run: [kjllfd] C:\WINDOWS\System32\qwaszxf\kolder.exe C:\WINDOWS\System32\qwaszxf\dirote.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [Windows USB controler] winusb.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [kjllfd] C:\WINDOWS\System32\qwaszxf\kolder.exe C:\WINDOWS\System32\qwaszxf\dirote.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\RunServices: [Windows USB controler] winusb.exe
O20 - Winlogon Notify: sstqr - sstqr.dll (file missing)

3. Effacer ces programmes .EXE et .DLL( et à la fin vider la corbeille)
C:…. winusb.exe
C:\WINDOWS\win.dll.exe "
C:\WINDOWS\System32\qwaszxf\ >> le répertoire
C:… msnq3insller.exe
C:\UNMT.EXE

5. vider les répertoires temps et la corbeille, en lançant Ccleaner
Refais un hijackthis de contrôle et dis nous où en sont les problèmes

a+

bernie61 · Answer

reaprès tout cela applique la procédure L2MFIXhttp://users.skynet.be/BernieClub/index.html#l2mfixa+

mARIE · Answer

Merci...

J'ai un peu galéré, et je n'ai pas trouvé certains fichiers dont tu me parlais (je n'ai trouvé que le répertoire : qwaszfx que j'ai supprimé) et je n'ai pas effectué la derniere procédure indiquée par Bernie, en attendant de savoir si il n'y a pas des choses a faire avant...

voici mes resultats :

Logfile of HijackThis v1.99.1
Scan saved at 13:52:19, on 15/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinAce\WinAce.exe
C:\DOCUME~1\MARIEB~1\LOCALS~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [eMusicClient] C:\Program Files\Winamp\eMusic\eMusicClient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -

%windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -

{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -

http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH -

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH -

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program

Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

antivir trouve toujours conhook...
que faire?

Merci pour votre aide!

Marie

bernie61 · Answer

repasses Ewido pour nettoyer ce trojanhttp://users.skynet.be/BernieClub/index.html#antitrojana+

did71 · Answer

bonsoir,

si tu permets bernie,

bizarre ce conhook (virtu monde) ajoute une ligne 02 et 020 dans le rapport hijackthis!

et là, aucune trace!

Pour essayer de faire avancer la chose,

Télécharge VundoFix.exe (par Atribune) sur ton Bureau:

http://www.atribune.org/public-beta/VundoFix.exe

* Double-clique VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

a+

Marie · Answer

Salut!

Et bien j'ai toujours quelques soucis...
J'ai bien suivi vos conseils, je pensais avoir résolu les pb mais finalement non... J'ai passé Ewido, il me trouve plein de choses (plus bas le résultat) et j'ai aussi passé vundo fix mais qui ne trouve pas de fichiers infectés... Antivir me le (conhook) signale toujours... mais visiblement j'ai d'autres malware aussi.

Voici pour commencer mon nouveau rapport HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 11:43:37, on 19/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\DOCUME~1\MARIEB~1\LOCALS~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

et le résultat Ewido :
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 11:42:49, 19/04/2006
+ Somme de contrôle: 5332591E

+ Résultats du scan:

HKU\S-1-5-21-820705851-2023731251-1940587857-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441} -> Downloader.ConHook.l : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer sans sauvegarder
C:\WINDOWS\system32\TFTP3840 -> Backdoor.Rbot : Nettoyer sans sauvegarder
C:\wuactld.exe -> Adware.MediaTickets : Nettoyer sans sauvegarder

::Fin du rapport

Merci pour votre aide, et bonne journée!

A+Marie.

Regis59 · Answer

Salut,Antivir doit vous donner l endroit ou il se situe, pouvez vous nous l indiquer?MerciA+

Marie · Answer

Alors...Après scan d'antivir voici le résultat : Report file date: mercredi 19 avril 2006  14:53Jobname: 'Local Drives'Scanning for 361505 virus strains and unwanted programs.Licensed to:        AntiVir PersonalEdition ClassicSerial number:      0000149996-WURGE-0001Platform:           Windows XPWindows version:    (Service Pack 2)  [5.1.2600]Username:           Marie BOUILLEAUComputer name:      MARIEVersion informations:AVSCAN.EXE     : 7.0.0.30     536616    21/03/2006 13:48:28AVSCAN.DLL     : 7.0.0.30     40488     21/03/2006 13:48:28LUKE.DLL       : 7.0.0.30     114728    21/03/2006 13:48:28LUKERES.DLL    : 7.0.0.30     25600     21/03/2006 13:48:28ANTIVIR0.VDF   : 6.32.0.60    4323840   27/03/2006 09:11:45ANTIVIR1.VDF   : 6.34.0.105   1669120   11/04/2006 14:19:05ANTIVIR2.VDF   : 6.34.0.185   223744    15/04/2006 10:07:11ANTIVIR3.VDF   : 6.34.0.202   51200     19/04/2006 10:25:36AVEWIN32.DLL   : 7.0.0.7      1171968   11/04/2006 14:19:06AVPREF.DLL     : 6.34.0.0     38440     18/01/2006 12:06:00AVREP.DLL      : 6.34.0.200   2342952   19/04/2006 10:25:36AVPACK32.DLL   : 6.33.0.6     331816    09/01/2006 09:03:37AVREG.DLL      : 6.31.0.90    27688     28/07/2005 10:06:36NETNT.DLL      : 6.32.0.0     6696      27/09/2005 07:56:49NETNW.DLL      : 6.32.0.0     9768      27/09/2005 07:56:49Start of the scan: mercredi 19 avril 2006  14:53Start scanning boot sectors:Boot sector 'C:'      [NOTE]      No virus was found!Starting to scan the registry.The registry was scanned ( 16 files ).Starting the file scan:C:\hiberfil.sys      [WARNING]   The file could not be opened!C:\pagefile.sys      [WARNING]   The file could not be opened!C:\Documents and Settings\LocalService\NTUSER.DAT      [WARNING]   The file could not be opened!C:\Documents and Settings\LocalService
tuser.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat      [WARNING]   The file could not be opened!C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU\NTUSER.DAT      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU
tuser.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DF126C.tmp      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DF6CB.tmp      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DF8455.tmp      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DF87D8.tmp      [WARNING]   The file could not be opened!C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DFBE80.tmp      [WARNING]   The file could not be opened!C:\Documents and Settings\NetworkService\NTUSER.DAT      [WARNING]   The file could not be opened!C:\Documents and Settings\NetworkService
tuser.dat.LOG      [WARNING]   The file could not be opened!C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat      [WARNING]   The file could not be opened!C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\SoftwareDistribution\EventCache\{6A59654B-CC17-4EB6-B158-A38371D6AAA5}.bin      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\default      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\default.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\SAM      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\SAM.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\SECURITY      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\SECURITY.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\software      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\software.LOG      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\system      [WARNING]   The file could not be opened!C:\WINDOWS\system32\config\system.LOG      [WARNING]   The file could not be opened!The path D:\ could not be found!Le périphérique n'est pas prêt.End of the scan: mercredi 19 avril 2006  15:41Used time: 47:40 minThe scan has been done completely.   2077 Scanning directories 143508 Files were scanned      0 viruses and/or unwanted programs was found      0 files were deleted      0 files were repaired      0 files were moved to quarantine      0 files were renamed   6126 Archives were scanned     60 Warnings      0 NotesMais il me detecte conhook seulement par message m'avertissant de temps en temps... là depuis ce matin il ne l'a pas refait...Que faire du coup?Marie

Regis59 · Answer

Coucou Marie,

Pour l instant attendre qu il y ai une nouvelle alerte.
Cependant si tu veux te rassurer, tu peux faire ceci:

Lance ce scan en ligne:
http://www.bitdefender.fr/scan8/ie.html
Copie/colle le rapport

a+
:-)

Marie · Answer

Coucou!

Voici donc le rapport... pas terrible d'ailleurs!!!

BitDefender Online Scanner

Rapport d'analyse généré à: Wed, Apr 19, 2006 - 20:10:03

Voie d'analyse: C:\;D:\;

Statistiques

Temps
01:17:30

Fichiers
221791

Directoires
2135

Secteurs de boot
2

Archives
6413

Paquets programmes
28040

Résultats

Virus identifiés
4

Fichiers infectés
5

Fichiers suspects
1

Avertissements
0

Désinfectés
0

Fichiers effacés
6

Info sur les moteurs

Définition virus
370624

Version des moteurs
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Analyse des plugins
13

Archive des plugins
39

Unpack des plugins
4

E-mail plugins
6

Système plugins
1

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions

Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui

Fichier analysé
Statut

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Infecté par: Trojan.Bat.Secdrop.FW

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Infecté par: Trojan.WinREG.LowZones.A

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057760.exe
Suspecté de: Generic.Malware.SY.5013DDCA

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057760.exe
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057760.exe
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057761.bat
Infecté par: Trojan.Bat.Secdrop.FW

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057761.bat
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057761.bat
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057762.exe
Infecté par: Virtool.HiddenRun.B

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057762.exe
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057762.exe
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057763.exe
Infecté par: Trojan.Proxy.Bobax.C

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057763.exe
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057763.exe
Supprimé

A toute',

Marie.

Regis59 · Answer

coucouIls etaient tous inactifs dans ta restauration systeme mais c est toujours bon de les supprimer definitivement.Dis moi ou en sont tes soucis?a+

Trojan conhook.L

11 réponses

Votre réponse

Discussions similaires

Newsletters