Win32:Trojan-gen & Co.... Fermé

Question

Salut à tousComme l'indique mon titre de message, j'ai un pc plein de ces cochonneries (Win32:Trojan-gen; Win32:Poebot-D;etc...)Aprés avoir un peu tourné sur le forum, j'ai vu qu'une demande récurrente pour apporter une solution était "Fais un hijackthis et poste le!"Alors, j'ai fais ça et voilà le résultat:Logfile of HijackThis v1.99.1Scan saved at 01:57:45, on 27/05/2006Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\System32\winzip.exeC:\Program Files\ivcytc.exeC:\WINDOWS\Mixer.exeC:\WINDOWS\System32\0mcamcap.exeC:\WINDOWS\System32\httpd32.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\system32\kernlx86.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\WINDOWS\system32\cmd.exec:\Program Files\ivcytc.exec:\gubnqds.exeC:\WINDOWS\System32\TheMatrixHasYou.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\G2G\Bureau\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.htmlR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=ZillaPopupKiller:8100R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [AdobeReaderPro] winzip.exeO4 - HKLM\..\Run: [SysTray] c:\Program Files\ivcytc.exeO4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startupO4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exeO4 - HKLM\..\Run: [Windows HTTP Services] httpd32.exeO4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exeO4 - HKLM\..\RunServices: [DRam prosesor] ppgoqfx.exeO4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exeO4 - HKLM\..\RunServices: [Windows HTTP Services] httpd32.exeO4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)J'ai bien vu un truc pas clair du tout (C:\WINDOWS\System32\TheMatrixHasYou.exe) mais j'ai pas réussi à le faire sauter.Alors qui voudras voler à mon secours?...Merci d'avoir lu.A+G2G

green day · Answer

salut # Télécharge ceci: (merci a S!RI pour ce petit programme).  http://siri.urz.free.fr/Fix/SmitfraudFix.zipExécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php il va générer un rapport : copie/colle le sur le poste stp.++

G2G · Answer

Merci GreenDay!Voilà le rapport de SmitfraudFix:SmitFraudFix v2.48Rapport fait à 12:04:00,32, 27/05/2006Executé à partir de C:\Program Files\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600]Fix executé en mode normal»»»»»»»»»»»»»»»»»»»»»»»» C:\C:\secure32.html PRESENT !C:\uniq PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\G2G\Application Data»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\G2G\Favoris»»»»»»»»»»»»»»»»»»»»»»»» Bureau»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files C:\Program Files\secure32.html PRESENT !»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]"Source"="About:Home""SubscribedURL"="About:Home""FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!SrchSTS.exe by S!RiSearch SharedTaskScheduler's .dll»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll»»»»»»»»»»»»»»»»»»»»»»»» FinAlors Doc', c'est grave?...lol..A+G2G

green day · Answer

re ok,# Démarre en mode sans échec : Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! (Si F8 ne marche pas utilise la touche F5). ---------------------------------------------------------------------------- # Relance le programme Smitfraud :Cette fois choisit l’option 2, répond oui a tous ; Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum  ensuite poste un nouveau hijackthis stp@+

Regis59 · Answer

Salut;Merci Inco de m avoir conduit ici ;-)Peux tu faire ceci stp?Rend toi sur ce site :http://www.virustotal.com/xhtml/virustotal_en.html Clik sur parcourirRecherche ceci :C:\WINDOWS\SYSTEM32\xdudtt.dll Clik send et colle le rapport stpA+

green day · Answer

re oublie pas la manip que t'a demandé Regis ;-)

G2G · Answer

J'ai pas réussi à faire un scan de "C:\WINDOWS\SYSTEM32\xdudtt.dll " par virustotal.Par contre, j'ai pu en faire un de "Thematrixhasyou.exe"Et voilà ce que ça donne:STATUS: FINISHEDComplete scanning result of "TheMatrixHasYou.exe", received in VirusTotal at 05.27.2006, 17:02:50 (CET).Antivirus Version Update Result AntiVir 6.34.1.32 05.27.2006 TR/Proxy.Small.BO.21 Authentium 4.93.8 05.26.2006  no virus found Avast 4.6.695.0 05.26.2006  no virus found AVG 386 05.26.2006 Proxy.CGB BitDefender 7.2 05.27.2006 Backdoor.Mahayou.A CAT-QuickHeal 8.00 05.26.2006 TrojanProxy.Small.bo ClamAV devel-20060426 05.27.2006  no virus found DrWeb 4.33 05.26.2006 Trojan.Proxy.899 eTrust-InoculateIT 23.72.19 05.26.2006 Win32/SillyDL.7ki!Trojan eTrust-Vet 12.6.2229 05.26.2006 Win32/Malum.ESL Ewido 3.5 05.27.2006 Proxy.Small.bo Fortinet 2.77.0.0 05.27.2006 W32/Small.BO!tr F-Prot 3.16c 05.26.2006  no virus found Ikarus 0.2.65.0 05.27.2006 Trojan-Proxy.Win32.Small.BO Kaspersky 4.0.2.24 05.27.2006 Trojan-Proxy.Win32.Small.bo McAfee 4771 05.26.2006  no virus found Microsoft 1.1441 05.27.2006  no virus found NOD32v2 1.1562 05.27.2006 Win32/TrojanProxy.Small.NAH Norman 5.90.17 05.26.2006 W32/Smalltroj.BIB Panda 9.0.0.4 05.27.2006 Trj/Jupillites.G Sophos 4.05.0 05.27.2006  no virus found Symantec 8.0 05.27.2006  no virus found TheHacker 5.9.8.149 05.26.2006 Trojan/Proxy.Small.bo UNA 1.83 05.26.2006 TrojanProxy.Win32.Small VBA32 3.11.0 05.26.2006 Trojan-Proxy.Win32.Small.bo A+G2G

Regis59 · Answer

Ok merci d avoir essayé.Je fais quelques recherches et me renseignes.Je repasserais surrement.Merci de continuer avec Green day.a+

Regis59 · Answer

Re;Telecharge ceci:http://users.telenet.be/marcvn/tools/haxfix.exeExecute le et copie/colle le rapport.a+

G2G · Answer

Nouveau rebondissement!Quand j'essiae de faire un scan avec "https://virusscan.jotti.org/"ou "http://www.virustotal.com/xhtml/virustotal_en.html ", un message apparait et me dit: "C:\WINDOWS\SYSTEM32\xdudtt.dll .Vous n'avez pas l'autorisation d'ouvrir ce fichier. Demandez l'autorisation au propriétaire du fichier ou à votre administrateur."Keskecé encore que ça?...

G2G · Answer

Nouveau rebondissement!Quand j'essiae de faire un scan avec "https://virusscan.jotti.org/"ou "http://www.virustotal.com/xhtml/virustotal_en.html ", un message apparait et me dit: "C:\WINDOWS\SYSTEM32\xdudtt.dll .Vous n'avez pas l'autorisation d'ouvrir ce fichier. Demandez l'autorisation au propriétaire du fichier ou à votre administrateur."Keskecé encore que ça?...

Regis59 · Answer

SalutTu as fait quel option dans Haxfix?Tu l as fait supprimer par l option de haxfix?a demain

G2G · Answer

Je crois que j'ai fait l'option 1: logfile, il me semble mais je suis pas chez moi, donc je te reconfirme demain.a+G2G

regis59 · Answer

SalutOk, dis moi si c est la une, car il faudra passer les autres options pour regler le soucisa+

G2G · Answer

Salut Régis et pardon pour mon absence...Il s'agit bien de l'option 1 pour le rapport visible plus haut...J'ai fait un hafix - option 2 aussi.Voilà ce que ça donne...HAXFIX logfile - by Marckie--------------version 2.43 30/05/2006  18:34:47,49  Auto Haxdoorfix   haxdoor key: xdud searching for services....services found deleting services..... [SWSC] DeleteService SUCCESS[SWSC] DeleteService SUCCESS  rebooting the computer.....   haxdoor key: xdud searching for services....services not found  checking if files are found.....xdudtt.dllxdudmm.sys deleting files.....checking if files are deleted.....checking for other files.....sd.dll sd.sys f87ux.ini ojhaaasdd.dat ps.a3d deleting other files.....checking if the files are deleted.....FinishedJ'ai toujours des alertes de Avast...J'ai parfois envie d'apprendre à voler à ma tour...lol..A+ et merciG2G

incognito02 · Answer

Salutremet un hijack thisa+

Win32:Trojan-gen & Co....

15 réponses

Discussions similaires