Win32:Trojan-gen & Co....

Question

Salut à tous

Comme l'indique mon titre de message, j'ai un pc plein de ces cochonneries (Win32:Trojan-gen; Win32:Poebot-D;etc...)
Aprés avoir un peu tourné sur le forum, j'ai vu qu'une demande récurrente pour apporter une solution était "Fais un hijackthis et poste le!"

Alors, j'ai fais ça et voilà le résultat:

Logfile of HijackThis v1.99.1
Scan saved at 01:57:45, on 27/05/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\winzip.exe
C:\Program Files\ivcytc.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\0mcamcap.exe
C:\WINDOWS\System32\httpd32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\kernlx86.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
c:\Program Files\ivcytc.exe
c:\gubnqds.exe
C:\WINDOWS\System32\TheMatrixHasYou.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\G2G\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=ZillaPopupKiller:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AdobeReaderPro] winzip.exe
O4 - HKLM\..\Run: [SysTray] c:\Program Files\ivcytc.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\Run: [Windows HTTP Services] httpd32.exe
O4 - HKLM\..\RunServices: [AdobeReaderPro] winzip.exe
O4 - HKLM\..\RunServices: [DRam prosesor] ppgoqfx.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\RunServices: [Windows HTTP Services] httpd32.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

J'ai bien vu un truc pas clair du tout (C:\WINDOWS\System32\TheMatrixHasYou.exe)
mais j'ai pas réussi à le faire sauter.

Alors qui voudras voler à mon secours?...

Merci d'avoir lu.
A+
G2G

Afficher la suite

green day · Answer

salut

# Télécharge ceci: (merci a S!RI pour ce petit programme).

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.

++

G2G · Answer

Merci GreenDay!

Voilà le rapport de SmitfraudFix:

SmitFraudFix v2.48

Rapport fait à 12:04:00,32, 27/05/2006
Executé à partir de C:\Program Files\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\secure32.html PRESENT !
C:\uniq PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\G2G\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\G2G\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\secure32.html PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Alors Doc', c'est grave?...lol..

A+
G2G

green day · Answer

re

ok,

# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
# Relance le programme Smitfraud :
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

ensuite poste un nouveau hijackthis stp

@+

Regis59 · Answer

Salut;

Merci Inco de m avoir conduit ici ;-)

Peux tu faire ceci stp?

Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci :
C:\WINDOWS\SYSTEM32\xdudtt.dll
Clik send et colle le rapport stp

A+

green day · Answer

re oublie pas la manip que t'a demandé Regis ;-)

G2G · Answer

J'ai pas réussi à faire un scan de "C:\WINDOWS\SYSTEM32\xdudtt.dll " par virustotal.

Par contre, j'ai pu en faire un de "Thematrixhasyou.exe"

Et voilà ce que ça donne:

STATUS: FINISHEDComplete scanning result of "TheMatrixHasYou.exe", received in VirusTotal at 05.27.2006, 17:02:50 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.32 05.27.2006 TR/Proxy.Small.BO.21
Authentium 4.93.8 05.26.2006 no virus found
Avast 4.6.695.0 05.26.2006 no virus found
AVG 386 05.26.2006 Proxy.CGB
BitDefender 7.2 05.27.2006 Backdoor.Mahayou.A
CAT-QuickHeal 8.00 05.26.2006 TrojanProxy.Small.bo
ClamAV devel-20060426 05.27.2006 no virus found
DrWeb 4.33 05.26.2006 Trojan.Proxy.899
eTrust-InoculateIT 23.72.19 05.26.2006 Win32/SillyDL.7ki!Trojan
eTrust-Vet 12.6.2229 05.26.2006 Win32/Malum.ESL
Ewido 3.5 05.27.2006 Proxy.Small.bo
Fortinet 2.77.0.0 05.27.2006 W32/Small.BO!tr
F-Prot 3.16c 05.26.2006 no virus found
Ikarus 0.2.65.0 05.27.2006 Trojan-Proxy.Win32.Small.BO
Kaspersky 4.0.2.24 05.27.2006 Trojan-Proxy.Win32.Small.bo
McAfee 4771 05.26.2006 no virus found
Microsoft 1.1441 05.27.2006 no virus found
NOD32v2 1.1562 05.27.2006 Win32/TrojanProxy.Small.NAH
Norman 5.90.17 05.26.2006 W32/Smalltroj.BIB
Panda 9.0.0.4 05.27.2006 Trj/Jupillites.G
Sophos 4.05.0 05.27.2006 no virus found
Symantec 8.0 05.27.2006 no virus found
TheHacker 5.9.8.149 05.26.2006 Trojan/Proxy.Small.bo
UNA 1.83 05.26.2006 TrojanProxy.Win32.Small
VBA32 3.11.0 05.26.2006 Trojan-Proxy.Win32.Small.bo

A+
G2G

Regis59 · Answer

Ok merci d avoir essayé.Je fais quelques recherches et me renseignes.Je repasserais surrement.Merci de continuer avec Green day.a+

Regis59 · Answer

Re;Telecharge ceci:http://users.telenet.be/marcvn/tools/haxfix.exeExecute le et copie/colle le rapport.a+

G2G · Answer

Nouveau rebondissement!

Quand j'essiae de faire un scan avec "https://virusscan.jotti.org/"
ou "http://www.virustotal.com/xhtml/virustotal_en.html ", un message apparait et me dit:
"C:\WINDOWS\SYSTEM32\xdudtt.dll .
Vous n'avez pas l'autorisation d'ouvrir ce fichier.
Demandez l'autorisation au propriétaire du fichier ou à votre administrateur."

Keskecé encore que ça?...

G2G · Answer

Nouveau rebondissement!

Quand j'essiae de faire un scan avec "https://virusscan.jotti.org/"
ou "http://www.virustotal.com/xhtml/virustotal_en.html ", un message apparait et me dit:
"C:\WINDOWS\SYSTEM32\xdudtt.dll .
Vous n'avez pas l'autorisation d'ouvrir ce fichier.
Demandez l'autorisation au propriétaire du fichier ou à votre administrateur."

Keskecé encore que ça?...

Regis59 · Answer

SalutTu as fait quel option dans Haxfix?Tu l as fait supprimer par l option de haxfix?a demain

G2G · Answer

Je crois que j'ai fait l'option 1: logfile, il me semble mais je suis pas chez moi, donc je te reconfirme demain.a+G2G

regis59 · Answer

SalutOk, dis moi si c est la une, car il faudra passer les autres options pour regler le soucisa+

G2G · Answer

Salut Régis et pardon pour mon absence...

Il s'agit bien de l'option 1 pour le rapport visible plus haut...

J'ai fait un hafix - option 2 aussi.
Voilà ce que ça donne...

HAXFIX logfile - by Marckie
--------------
version 2.43
30/05/2006 18:34:47,49

Auto Haxdoorfix

haxdoor key: xdud
searching for services....
services found
deleting services.....
[SWSC] DeleteService SUCCESS
[SWSC] DeleteService SUCCESS

rebooting the computer.....

haxdoor key: xdud
searching for services....
services not found

checking if files are found.....
xdudtt.dll
xdudmm.sys

deleting files.....

checking if files are deleted.....

checking for other files.....
sd.dll
sd.sys
f87ux.ini
ojhaaasdd.dat
ps.a3d

deleting other files.....

checking if the files are deleted.....

Finished

J'ai toujours des alertes de Avast...
J'ai parfois envie d'apprendre à voler à ma tour...

lol..
A+ et merci
G2G

incognito02 · Answer

Salutremet un hijack thisa+

Win32:Trojan-gen & Co....

15 réponses

Votre réponse

Discussions similaires

Newsletters