Je suis infecté par ieudinit.exe

Résolu
Utilisateur anonyme -  
 Utilisateur anonyme -
Bonjour,

Voila je suis infecté par "ieudinit.exe" qui s'affichent dans le gestionnaire de tache windows. Dans l'onglet application, j'ai un "Form1" et lorsque je clique sur "aller dans le processus", il me ramène au processus "ieudinit.exe". Je suis très embêté car c'est la première fois que j'ai à faire à ce genre de problème.

Après divers lectures sur le site, j'ai téléchargé Malwares Bytes qui m'a trouvé un "loop.exe" que j'ai pu normalement supprimer via les tutos. Le problème est que Malwares Bytes ne m'a pas trouvé de traces de "ieudinit.exe".

je viens de télécharger Hijackthis et voici le rapport qu'il me fournit :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=109980&babsrc=HP_ss&mntrId=54a58ef000000000000000265ef52890
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [TpScrex] C:\ProgramData\TpScrex\TpScrex.exe /somering
O4 - HKCU\..\RunOnce: [ieudinit] C:\Users\deb\AppData\Local\Temp\ieudinit.vbs
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: Lanceur.lnk = C:\Program Files (x86)\Micro Application\LauncherMA.exe
O13 - Gopher Prefix:
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: VUAgent - Sony Corporation - C:\Program Files\Sony\VAIO Update Common\VUAgent.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7252 bytes

Je ne sais pas quelle ligne je dois cocher aussi je m'en remets à vous pour pouvoir me débarrasser de cette infection. Le plus inquiétant est que je me suis connecté à mon compte bancaire sur internet dernièrement et j'ai peur qu'il puisse arriver quelque chose de dommageable.

Merci

Guillaume

6 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://pjjoint.malekal.com/

    https://www.cjoint.com/

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    0
  2. Utilisateur anonyme
     
    Bonjour et merci pour cette réponse rapide.

    Voici le lien du rapport ZHP : http://cjoint.com/12av/BDBmO3lielP.htm

    J'attends votre réponse.

    Guillaume
    0
  3. Utilisateur anonyme
     
    Bonjour

    1)Désinstalle Spybot S&D, logiciel obsolète et qui risque de gêner la désinfection :

    Désactive le module Tea Timer
    Dé-vaccine
    Désinstalle

    2)de l'outil ZHPFix :

    * Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
    -------------------------------------------------------------------------------------------------


    R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs = http://search.babylon.com
    O4 - HKCU\..\Run: [TpScrex] . (...) -- C:\ProgramData\TpScrex\TpScrex.exe
    O4 - HKUS\S-1-5-21-4112259653-1411600473-3119650002-1000\..\Run: [TpScrex] . (...) -- C:\ProgramData\TpScrex\TpScrex.exe
    O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} [DefaultScope] - (Search the web (Babylon)) - http://search.babylon.com
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]
    C:\Users\deb\AppData\LocalLow\BabylonToolbar
    C:\Users\deb\AppData\Local\Temp\BabylonToolbar
    [MD5.00000000000000000000000000000000] [APT] [Express Files Updater] (...) -- C:\Program Files (x86)\ExpressFiles\EFupdater.exe (.not file.)
    [MD5.506708142BC63DABA64F2D3AD1DCD5BF] [APT] [GoogleUpdateTaskUserS-1-5-21-4112259653-1411600473-3119650002-1000Core] (.Google Inc..) -- C:\Users\deb\AppData\Local\Google\Update\GoogleUpdate.exe
    [MD5.506708142BC63DABA64F2D3AD1DCD5BF] [APT] [GoogleUpdateTaskUserS-1-5-21-4112259653-1411600473-3119650002-1000UA] (.Google Inc..) -- C:\Users\deb\AppData\Local\Google\Update\GoogleUpdate.exe
    [MD5.8535493AB374BE5B1B3A34671F42CCB3] [APT] [RealUpgradeLogonTaskS-1-5-21-4112259653-1411600473-3119650002-1000] (.RealNetworks, Inc..) -- C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
    [MD5.8535493AB374BE5B1B3A34671F42CCB3] [APT] [RealUpgradeScheduledTaskS-1-5-21-4112259653-1411600473-3119650002-1000] (.RealNetworks, Inc..) -- C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
    FirewallRAZ
    Emptytemp

    --------------------------------------------------------------------------------------------
    Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
    « Exécuter en tant qu'administrateur »
    .

    * Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    *Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    *Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour lancer le nettoyage,

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

    A+
    0
  4. Utilisateur anonyme
     
    Re,

    Voici le dernier rapport :

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Users\deb\AppData\Local\Google\Update\GoogleUpdate.exe
    SUPPRIME Memory Process: C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: SearchScopes :{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: TpScrex
    ABSENT RunValue: TpScrex
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs

    ========== Dossier(s) ==========
    SUPPRIME Folder: c:\users\deb\appdata\locallow\babylontoolbar
    SUPPRIME Folder: c:\users\deb\appdata\local\temp\babylontoolbar
    SUPPRIME Temporaires Windows: : 119

    ========== Fichier(s) ==========
    SUPPRIME Reboot c:\programdata\tpscrex\tpscrex.exe
    SUPPRIME File: c:\users\deb\appdata\local\google\update\googleupdate.exe
    ABSENT Folder/File: c:\users\deb\appdata\local\google\update\googleupdate.exe
    SUPPRIME File: c:\program files (x86)\real\realupgrade\realupgrade.exe
    ABSENT Folder/File: c:\program files (x86)\real\realupgrade\realupgrade.exe
    SUPPRIME Temporaires Windows: : 30

    ========== Tache planifiée ==========
    SUPPRIME Task: Express Files Updater
    SUPPRIME Task: GoogleUpdateTaskUserS-1-5-21-4112259653-1411600473-3119650002-1000Core
    SUPPRIME Task: GoogleUpdateTaskUserS-1-5-21-4112259653-1411600473-3119650002-1000UA
    SUPPRIME Task: RealUpgradeLogonTaskS-1-5-21-4112259653-1411600473-3119650002-1000
    SUPPRIME Task: RealUpgradeScheduledTaskS-1-5-21-4112259653-1411600473-3119650002-1000

    ========== Récapitulatif ==========
    2 : Processus mémoire
    6 : Clé(s) du Registre
    4 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    3 : Dossier(s)
    6 : Fichier(s)
    5 : Tache planifiée

    End of clean in 00mn 16s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 27/04/2012 13:32:29 [2820]

    Cordialement

    Guillaume
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    As tu encore des problèmes?

    @+
    0
  7. Utilisateur anonyme
     
    Bonsoir,

    non tout est rentré dans l'ordre.

    Un grand merci !
    0