Win32:Trojan-gen & Co....

G2G -  
incognito02 Messages postés 3487 Statut Contributeur -
Salut à tous

Comme l'indique mon titre de message, j'ai un pc plein de ces cochonneries (Win32:Trojan-gen; Win32:Poebot-D;etc...)
Aprés avoir un peu tourné sur le forum, j'ai vu qu'une demande récurrente pour apporter une solution était "Fais un hijackthis et poste le!"

Alors, j'ai fais ça et voilà le résultat:

Logfile of HijackThis v1.99.1
Scan saved at 01:57:45, on 27/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\winzip.exe
C:\Program Files\ivcytc.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\0mcamcap.exe
C:\WINDOWS\System32\httpd32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\kernlx86.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
c:\Program Files\ivcytc.exe
c:\gubnqds.exe
C:\WINDOWS\System32\TheMatrixHasYou.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\G2G\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=ZillaPopupKiller:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\ivcytc.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\Run: [Windows HTTP Services] httpd32.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe
O4 - HKLM\..\RunServices: [DRam prosesor] ppgoqfx.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\RunServices: [Windows HTTP Services] httpd32.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

J'ai bien vu un truc pas clair du tout (C:\WINDOWS\System32\TheMatrixHasYou.exe)
mais j'ai pas réussi à le faire sauter.

Alors qui voudras voler à mon secours?...

Merci d'avoir lu.
A+
G2G

15 réponses

  1. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    salut

    # Télécharge ceci: (merci a S!RI pour ce petit programme).

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip

    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
    voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    il va générer un rapport : copie/colle le sur le poste stp.

    ++
    0
  2. G2G Messages postés 9 Statut Membre
     
    Merci GreenDay!

    Voilà le rapport de SmitfraudFix:

    SmitFraudFix v2.48

    Rapport fait à 12:04:00,32, 27/05/2006
    Executé à partir de C:\Program Files\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    C:\secure32.html PRESENT !
    C:\uniq PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\G2G\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\G2G\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\secure32.html PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Alors Doc', c'est grave?...lol..

    A+
    G2G
    0
  3. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    ok,

    # Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    # Relance le programme Smitfraud :
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    ensuite poste un nouveau hijackthis stp

    @+
    0
    1. G2G Messages postés 9 Statut Membre
       
      Voici le rapport Smitfraud aprés Mode sans échec.

      SmitFraudFix v2.48

      Rapport fait à 15:08:52,19, 27/05/2006
      Executé à partir de C:\Program Files\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]
      Fix executé en mode sans echec

      »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

      C:\secure32.html supprimé
      C:\uniq supprimé
      C:\Program Files\secure32.html supprimé

      »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

      GenericRenosFix by S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin


      Pour info, aprés un redémarrage normal, Avast m'a signalé la présence de Win32:Goldun-BU [Trj]...

      A tout'
      G2G
      0
  4. Regis59
     
    Salut;

    Merci Inco de m avoir conduit ici ;-)

    Peux tu faire ceci stp?

    Rend toi sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html
    Clik sur parcourir
    Recherche ceci :
    C:\WINDOWS\SYSTEM32\xdudtt.dll
    Clik send et colle le rapport stp

    A+
    0
    1. G2G Messages postés 9 Statut Membre
       
      Salut Regis59 et merci de ton interêt!

      Alors voilà, aprés avoir fait tout ce que tu me dis, quand je cliques "Send", il me dit "Impossible d'afficher la page"!!!

      Y'a un truc à faire en plus pour que ça fonctionne?...

      je vais réessayer de temps à autre, au cas où...

      A+
      G2G
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    re

    oublie pas la manip que t'a demandé Regis ;-)
    0
  7. G2G Messages postés 9 Statut Membre
     
    J'ai pas réussi à faire un scan de "C:\WINDOWS\SYSTEM32\xdudtt.dll " par virustotal.

    Par contre, j'ai pu en faire un de "Thematrixhasyou.exe"

    Et voilà ce que ça donne:

    STATUS: FINISHEDComplete scanning result of "TheMatrixHasYou.exe", received in VirusTotal at 05.27.2006, 17:02:50 (CET).

    Antivirus Version Update Result
    AntiVir 6.34.1.32 05.27.2006 TR/Proxy.Small.BO.21
    Authentium 4.93.8 05.26.2006 no virus found
    Avast 4.6.695.0 05.26.2006 no virus found
    AVG 386 05.26.2006 Proxy.CGB
    BitDefender 7.2 05.27.2006 Backdoor.Mahayou.A
    CAT-QuickHeal 8.00 05.26.2006 TrojanProxy.Small.bo
    ClamAV devel-20060426 05.27.2006 no virus found
    DrWeb 4.33 05.26.2006 Trojan.Proxy.899
    eTrust-InoculateIT 23.72.19 05.26.2006 Win32/SillyDL.7ki!Trojan
    eTrust-Vet 12.6.2229 05.26.2006 Win32/Malum.ESL
    Ewido 3.5 05.27.2006 Proxy.Small.bo
    Fortinet 2.77.0.0 05.27.2006 W32/Small.BO!tr
    F-Prot 3.16c 05.26.2006 no virus found
    Ikarus 0.2.65.0 05.27.2006 Trojan-Proxy.Win32.Small.BO
    Kaspersky 4.0.2.24 05.27.2006 Trojan-Proxy.Win32.Small.bo
    McAfee 4771 05.26.2006 no virus found
    Microsoft 1.1441 05.27.2006 no virus found
    NOD32v2 1.1562 05.27.2006 Win32/TrojanProxy.Small.NAH
    Norman 5.90.17 05.26.2006 W32/Smalltroj.BIB
    Panda 9.0.0.4 05.27.2006 Trj/Jupillites.G
    Sophos 4.05.0 05.27.2006 no virus found
    Symantec 8.0 05.27.2006 no virus found
    TheHacker 5.9.8.149 05.26.2006 Trojan/Proxy.Small.bo
    UNA 1.83 05.26.2006 TrojanProxy.Win32.Small
    VBA32 3.11.0 05.26.2006 Trojan-Proxy.Win32.Small.bo

    A+
    G2G
    0
  8. Regis59
     
    Ok merci d avoir essayé.

    Je fais quelques recherches et me renseignes.

    Je repasserais surrement.

    Merci de continuer avec Green day.

    a+
    0
    1. incognito02 Messages postés 3487 Statut Contributeur 138
       
      Bonsoir Mister Régis ;-)

      On pourrait peut etre faire tester xdudtt.dll sur ce site ?
      https://virusscan.jotti.org/

      Bon courage à vous tous.

      A+
      0
  9. Regis59
     
    Re;

    Telecharge ceci:
    http://users.telenet.be/marcvn/tools/haxfix.exe

    Execute le et copie/colle le rapport.

    a+
    0
    1. G2G Messages postés 9 Statut Membre
       
      Et voilà!

      HAXFIX logfile - by Marckie
      --------------
      version 2.43
      27/05/2006 19:37:08,42

      checking for a3d files....
      a3d files found
      ps.a3d

      checking for matching notify keys....
      matching notify keys found
      xdud

      checking for matching services....
      matching services found
      xdudtt
      xdudmm

      checking for matching safeboot services....
      matching safeboot services found
      xdudtt.sys
      xdudmm.sys
      0
  10. G2G Messages postés 9 Statut Membre
     
    Nouveau rebondissement!

    Quand j'essiae de faire un scan avec "https://virusscan.jotti.org/"
    ou "http://www.virustotal.com/xhtml/virustotal_en.html ", un message apparait et me dit:
    "C:\WINDOWS\SYSTEM32\xdudtt.dll .
    Vous n'avez pas l'autorisation d'ouvrir ce fichier.
    Demandez l'autorisation au propriétaire du fichier ou à votre administrateur."

    Keskecé encore que ça?...
    0
  11. G2G Messages postés 9 Statut Membre
     
    Nouveau rebondissement!

    Quand j'essiae de faire un scan avec "https://virusscan.jotti.org/"
    ou "http://www.virustotal.com/xhtml/virustotal_en.html ", un message apparait et me dit:
    "C:\WINDOWS\SYSTEM32\xdudtt.dll .
    Vous n'avez pas l'autorisation d'ouvrir ce fichier.
    Demandez l'autorisation au propriétaire du fichier ou à votre administrateur."

    Keskecé encore que ça?...
    0
  12. Regis59
     
    Salut

    Tu as fait quel option dans Haxfix?

    Tu l as fait supprimer par l option de haxfix?

    a demain
    0
  13. G2G Messages postés 9 Statut Membre
     
    Je crois que j'ai fait l'option 1: logfile, il me semble mais je suis pas chez moi, donc je te reconfirme demain.

    a+
    G2G
    0
  14. regis59
     
    Salut

    Ok, dis moi si c est la une, car il faudra passer les autres options pour regler le soucis

    a+
    0
  15. G2G Messages postés 9 Statut Membre
     
    Salut Régis et pardon pour mon absence...

    Il s'agit bien de l'option 1 pour le rapport visible plus haut...

    J'ai fait un hafix - option 2 aussi.
    Voilà ce que ça donne...

    HAXFIX logfile - by Marckie
    --------------
    version 2.43
    30/05/2006 18:34:47,49

    Auto Haxdoorfix

    haxdoor key: xdud
    searching for services....
    services found
    deleting services.....
    [SWSC] DeleteService SUCCESS
    [SWSC] DeleteService SUCCESS

    rebooting the computer.....

    haxdoor key: xdud
    searching for services....
    services not found

    checking if files are found.....
    xdudtt.dll
    xdudmm.sys

    deleting files.....

    checking if files are deleted.....

    checking for other files.....
    sd.dll
    sd.sys
    f87ux.ini
    ojhaaasdd.dat
    ps.a3d

    deleting other files.....

    checking if the files are deleted.....

    Finished

    J'ai toujours des alertes de Avast...
    J'ai parfois envie d'apprendre à voler à ma tour...

    lol..
    A+ et merci
    G2G
    0
  16. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Salut

    remet un hijack this

    a+
    0