[Trojan] pub antivirus 2006 + xxx

Résolu
Saiyen75 Messages postés 2699 Statut Membre -  
Saiyen75 Messages postés 2699 Statut Membre -
Je pense que cet aprés midi j'ai attrapé un trojan car en effet avast detect des attaque de temps a autre et des fenetre de pub s'ouvre de temps en temps avec une icone porno "instant acces" sur le bureau.

J'ai fait un VundoFIX.exe puis aprés un hijackthis mais j'ai toujours le meme probleme. De plus dans mon gestionnaire de tache j'ai v6.exe que je n'ai jamais vu jusqu'a présent, pouvez vous me dire ce que sait s'il vous plait ?
Merci de votre aide voici mon rapport hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 19:04:59, on 08/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\Logi_MwX.Exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
C:\program files\powerstrip\pstrip.exe
C:\windows\hffext\hffsrv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\windows\system32\v6.exe
C:\windows\system32\rundll32.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\windows\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\system32\wuauclt.exe
C:\windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {13FD3BBD-FB7B-8E48-96B7-08372D93AED7} - C:\windows\system32\mfmcjk.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A9F620DF-ED71-437D-8C06-452A20700126} - C:\windows\system32\jkhhi.dll (file missing)
O2 - BHO: (no name) - {BE8156D3-A3C6-4AA4-80D0-04578EBA249D} - C:\windows\system32\ssqro.dll (file missing)
O2 - BHO: (no name) - {CEAB1E45-BB8D-4A85-B356-79028FEE94CE} - C:\windows\system32\pmnnopm.dll (file missing)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PowerStrip] c:\program files\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [hffsrv] c:\windows\hffext\hffsrv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\Video_deluxe_2007_PLUS\TrayServer.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\windows\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [syswin] C:\windows\system32\v6.exe
O4 - HKLM\..\Run: [nebaieh.dll] C:\windows\system32\rundll32.exe "C:\Documents and Settings\Xoy\Local Settings\Application Data\nebaieh.dll",vqpbsc
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\windows\system32\eohvpuqi.dll",setvm
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\windows\system32\drvvoz.dll,startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: PokerFROnline - {40B2063F-DB01-4962-BE63-59435C01283C} - C:\PROGRA~1\PokerFROnline\client.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: Poker.com - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\Program Files\Poker.com\Poker.exe (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: winjvd32 - C:\windows\SYSTEM32\winjvd32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Configuration: Windows XP
Firefox 1.5.0.10
Athlon XP 3000+
1 GO RAM
Geforce 6600 GT AGP

87 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

La question porte sur une infection potentielle par trojan, Avast détecte des attaques et des fenêtres publicitaires apparaissent, une icône 'instant accès' est affichée; malgré VundoFIX et HijackThis, le pb persiste. La meilleure réponse suggère une méthode plus radicale en utilisant Process XP et Killbox pour supprimer les entrées associées à winjvd32.dll et d'autres fichiers malveillants, puis relancer HijackThis. Les étapes incluent l’arrêt des processus suspects, l’éradication des entrées Winlogon Notify et la suppression des DLL manquantes signalées, suivies d’un redémarrage et d’un nouveau balayage. En cas de persistance, les rapports HijackThis peuvent révéler des éléments non critiques ou des services supplémentaires à examiner comme v6.exe et des DLL dans System32, nécessitant une vérification ciblée et une restauration éventuelle.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Bon on passe à la manière forte (merci a regis59) :

    Salut,

    Imprime, ou enregistre ceci dans le bloc note pour ne rien oublier.

    1/

    télécharge : process xp ici:
    https://www.cjoint.com/?djt3ZYRAx5

    Télécharge: Pocket Killbox ici
    http://www.downloads.subratam.org/KillBox.exe

    :: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
    http://pageperso.aol.fr/balltrap34/killbox.htm

    2/

    Déconnecte toi du net.
    Ferme tous les programmes en cours (média player, internet explorer, ...etc)

    Dézippe (clic droit > extraire) process xp et double clic sur processxp.exe

    * Dans la fenêtre principale de processxp double clic sur winlogon.exe
    Dans la nouvelle fenêtre qui s'ouvre clique sur threads
    sélectionne seulement les lignes qui contiennent winjvd32.dll
    puis clique sur kill pour chacune des lignes trouvées.
    une fois fait, valide avec ok

    * Dans la fenêtre principale de processxp double clic sur explorer.exe
    Dans la nouvelle fenêtre qui s'ouvre clique sur threads
    sélectionner seulement les lignes qui contiennent winjvd32.dll
    puis clique sur kill pour chacune des lignes trouvées.
    une fois fait, valide avec ok

    3/

    puis lancer HijackThis:

    clique sur "do a system scan only"

    * Cocher la case au début de ces lignes:

    O20 - Winlogon Notify: winjvd32 - C:\windows\SYSTEM32\winjvd32.dll

    * Valider avec fix checked

    4/

    Double clic sur killbox.exe (Pocket Killbox)

    - coche: delete on reboot
    - Dans "Full Path of File to Delete"
    - Sélectionne "single File"
    - copie et colle:

    C:\windows\SYSTEM32\winjvd32.dll

    - clique sur la croix rouge
    - une fenêtre va apparaître pour confirmation clique sur YES
    - une seconde fenêtre te demande si tu veux redémarrer clique sur YES

    Si ce message s’affiche ignore le :
    http://tinypic.com/images/goodbye.jpg
    Laisse le pc redémarrer.

    Et après reposte un log HijackThis.

    A+

    Bonne chance
    1
  2. Saiyen75 Messages postés 2699 Statut Membre 184
     
    Re,
    Ok j'ai terminé, donc quand j'ai fait process XP je n'ai trouvé aucune ligne dans les threads avec (winjvd32) a mon grand désespoir mais j'ai continué. J'ai tous fait a la lettre, donc voila le hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 20:17:53, on 09/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16414)

    Running processes:
    C:\windows\System32\smss.exe
    C:\windows\system32\winlogon.exe
    C:\windows\system32\services.exe
    C:\windows\system32\lsass.exe
    C:\windows\system32\svchost.exe
    C:\windows\System32\svchost.exe
    C:\windows\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\windows\system32\nvsvc32.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\windows\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\windows\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\windows\Logi_MwX.Exe
    C:\Program Files\Java\jre1.6.0\bin\jusched.exe
    C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
    C:\windows\hffext\hffsrv.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\windows\system32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
    C:\windows\system32\wuauclt.exe
    C:\windows\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Alwil Software\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [hffsrv] c:\windows\hffext\hffsrv.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC210NC Webcam
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [TrayServer] C:\MAGIX\Video_deluxe_2007_PLUS\TrayServer.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\windows\system32\PSDrvCheck.exe -CheckReg
    O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {6FDD5236-C9F0-49ef-935D-385F5E21991A} - C:\windows\system32\shdocvw.dll (HKCU)
    O11 - Options group: [INTERNATIONAL] International*
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

    A priorie la ligne 020 winlogon a disparue ?
    1
  3. Saiyen75 Messages postés 2699 Statut Membre 184
     
    Sil vous plait personne ne peut m'aider ?
    a un moment donné j'ai une boite de dialogue qui s'ouvre avec : Warning No modems founds puis on dois faire OK. Ensuite il y a une page qui s'ouvre : http://ww1.pinaccesscode.com
    0
  4. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Bonjour,

    Effectivement tu est infecté par un trojan

    Télécharge Blacklight (F-Secure) : https://www.f-secure.com/en

    Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

    Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Saiyen75 Messages postés 2699 Statut Membre 184
     
    Tout d'abord, merci pour ta réponse voici le rapport de Blacklight :

    03/08/07 20:20:12 [Info]: BlackLight Engine 1.0.55 initialized
    03/08/07 20:20:12 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    03/08/07 20:20:12 [Note]: 7019 4
    03/08/07 20:20:12 [Note]: 7005 0
    03/08/07 20:20:14 [Note]: 7006 0
    03/08/07 20:20:14 [Note]: 7011 1724
    03/08/07 20:20:14 [Note]: 7026 0
    03/08/07 20:20:14 [Note]: 7026 0
    03/08/07 20:20:23 [Note]: FSRAW library version 1.7.1021
    03/08/07 20:27:04 [Note]: 2000 1012
    03/08/07 20:27:04 [Note]: 2000 1012
    03/08/07 20:27:04 [Note]: 2000 1012
    03/08/07 20:28:24 [Note]: 7007 0

    PS : bizare mais a la fin du rapport il y avais 0 founds...
    0
  7. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Bizzare

    Donc télécharge clean : http://www.malekal.com/download/clean.zip

    Installe-le sur le bureau et dezippe-le.
    Un dossier clean va être créer double-clique dessus
    Puis double clique sur clean.cmd et choisit l'option 1.Patiente un peu.
    Poste ce rapport dans ton prochain post
    0
  8. Saiyen75 Messages postés 2699 Statut Membre 184
     
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 08/03/2007 a 20:43:26,25

    *** Recherche de fichiers sur C:

    *** Recherche des fichiers dans C:\windows\

    *** Recherche des fichiers dans C:\windows\system32
    C:\windows\system32\v6.exe FOUND
    "C:\Documents and Settings\Xoy\Application Data\ezpinst.exe" FOUND
    C:\windows\Temp\win????.tmp.exe FOUND

    "C:\Program Files\DaemonTools_WhenUSave_Installer\" FOUND
    "C:\Program Files\Poker.com\" FOUND
    "C:\Program Files\PokerStars\" FOUND
    *** Fin du rapport !
    0
  9. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Vas sur le site virustotal : http://www.virustotal.com/en/indexf.html

    Puis tu clique sur parcourir (en haut à gauche) et tu copie ces fichiers :

    C:\windows\hffext\hffsrv.exe

    puis tu patiente un peu et tu copie colleras les résultats dans ton prochain post
    0
  10. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Bon tu réouvre clean tu re-clique sur clean.cmd et la tu choisit l'option 2

    Copie-colle le rapport

    Puis re-post un log hijackthis
    0
  11. Saiyen75 Messages postés 2699 Statut Membre 184
     
    Merci voila pour l'un :

    Complete scanning result of "hffsrv.exe", received in VirusTotal at 03.08.2007, 20:50:01 (CET).

    Antivirus Version Update Result
    AntiVir 7.3.1.41 03.08.2007 no virus found
    Authentium 4.93.8 03.07.2007 no virus found
    Avast 4.7.936.0 03.08.2007 no virus found
    AVG 7.5.0.447 03.08.2007 no virus found
    BitDefender 7.2 03.08.2007 no virus found
    CAT-QuickHeal 9.00 03.08.2007 no virus found
    ClamAV devel-20060426 03.08.2007 no virus found
    DrWeb 4.33 03.08.2007 no virus found
    eSafe 7.0.14.0 03.08.2007 no virus found
    eTrust-Vet 30.6.3464 03.08.2007 no virus found
    Ewido 4.0 03.07.2007 no virus found
    FileAdvisor 1 03.08.2007 no virus found
    Fortinet 2.85.0.0 03.08.2007 no virus found
    F-Prot 4.3.1.45 03.07.2007 no virus found
    F-Secure 6.70.13030.0 03.08.2007 no virus found
    Ikarus T3.1.1.3 03.08.2007 no virus found
    Kaspersky 4.0.2.24 03.08.2007 no virus found
    McAfee 4980 03.08.2007 no virus found
    Microsoft 1.2204 03.08.2007 no virus found
    NOD32v2 2104 03.08.2007 no virus found
    Norman 5.80.02 03.07.2007 no virus found
    Panda 9.0.0.4 03.08.2007 Suspicious file
    Prevx1 V2 03.08.2007 no virus found
    Sophos 4.15.0 03.07.2007 no virus found
    Sunbelt 2.2.907.0 03.07.2007 no virus found
    Symantec 10 03.08.2007 no virus found
    TheHacker 6.1.6.072 03.07.2007 no virus found
    UNA 1.83 03.07.2007 no virus found
    VBA32 3.11.2 03.07.2007 no virus found
    VirusBuster 4.3.19:9 03.08.2007 no virus found

    Aditional Information
    File size: 82432 bytes
    MD5: 22bf1cc377bfe8775764f5bd601f389b
    SHA1: 6f6262591caf0f402f76b750c02797662e76fd75

    et l'autre :

    Antivirus Version Update Result
    AntiVir 7.3.1.41 03.08.2007 no virus found
    Authentium 4.93.8 03.07.2007 could be infected with an unknown virus
    Avast 4.7.936.0 03.08.2007 no virus found
    AVG 7.5.0.447 03.08.2007 no virus found
    BitDefender 7.2 03.08.2007 Generic.Malware.Sdld.1743F721
    CAT-QuickHeal 9.00 03.08.2007 (Suspicious) - DNAScan
    ClamAV devel-20060426 03.08.2007 no virus found
    DrWeb 4.33 03.08.2007 no virus found
    eSafe 7.0.14.0 03.08.2007 Win32.Trojan
    eTrust-Vet 30.6.3464 03.08.2007 no virus found
    Ewido 4.0 03.07.2007 no virus found
    FileAdvisor 1 03.08.2007 no virus found
    Fortinet 2.85.0.0 03.08.2007 no virus found
    F-Prot 4.3.1.45 03.07.2007 no virus found
    F-Secure 6.70.13030.0 03.08.2007 no virus found
    Ikarus T3.1.1.3 03.08.2007 Win32.SuspectCrc
    Kaspersky 4.0.2.24 03.08.2007 no virus found
    McAfee 4980 03.08.2007 no virus found
    Microsoft 1.2204 03.08.2007 no virus found
    NOD32v2 2104 03.08.2007 no virus found
    Norman 5.80.02 03.07.2007 no virus found
    Panda 9.0.0.4 03.08.2007 Adware/DriveCleaner
    Prevx1 V2 03.08.2007 Dialer.GlobalAccess
    Sophos 4.15.0 03.07.2007 no virus found
    Sunbelt 2.2.907.0 03.07.2007 Email-Worm.Win32.GOPworm.196
    Symantec 10 03.08.2007 Backdoor.Trojan
    TheHacker 6.1.6.072 03.07.2007 no virus found
    UNA 1.83 03.07.2007 no virus found
    VBA32 3.11.2 03.07.2007 no virus found
    VirusBuster 4.3.19:9 03.08.2007 no virus found

    Aditional Information
    File size: 10752 bytes
    MD5: 18dc77a45ddcf1f2a35f04ab5f57c2b8
    SHA1: de4f81ec979996d4b241e59ed614750e90647327
    packers: PECOMPACT
    packers: PecBundle, PECompact
    Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=507f80638909
    0
  12. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Ok donc fait ce que je t'ai dit avec clean et apres on verra
    0
  13. Saiyen75 Messages postés 2699 Statut Membre 184
     
    Voila le resultat aprés avoir fait un clean OPTION 2 mais je n'etais pas en mode sans echech (je le precise car il disai que c'était mieu dans le programme) :

    Script execute en mode normal
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 2, executee le 08/03/2007 a 21:05:41,06

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression de fichiers sur C:

    *** Suppression des fichiers dans C:\windows\

    *** Suppression des fichiers dans C:\windows\system32
    tentative de suppression de C:\windows\system32\v6.exe
    Impossible de supprimer C:\windows\system32\v6.exe
    tentative de suppression de "C:\Documents and Settings\Xoy\Application Data\ezpinst.exe"
    tentative de suppression de C:\windows\Temp\win????.tmp.exe

    tentative de suppression de "C:\Program Files\DaemonTools_WhenUSave_Installer\"
    tentative de suppression de "C:\Program Files\Poker.com\"
    tentative de suppression de "C:\Program Files\PokerStars\"

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !
    0
  14. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Oui mais comme les clés ont été supprimés pas de problème.

    Télécharge AVG anti-spyware : https://www.01net.com/telecharger/

    Suis ces instructions à la clé :

    Choisis l'onglet "Analyse"
    Puis l'onglet "Paramètres
    Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    /!\ Si un fichier est infecté détécté en fin d'analyse /!\
    Clique sur "Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau.

    détectés.
    Clique sur le bouton Appliquer toutes les actions.
    Clique sur Enregistrer le "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau.
    0
  15. Saiyen75 Messages postés 2699 Statut Membre 184
     
    Merci pour tes réponses, l'analyse est encours je t'envoi ça des que s'est terminé.
    0
  16. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    J'ai oublié de te faire fixer quelques lignes :

    Alors ouvre hijackthis :

    Clique sur "Do a system scan only" et ensuite tu vas cocher ces lignes :

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: (no name) - {A9F620DF-ED71-437D-8C06-452A20700126} - C:\windows\system32\jkhhi.dll (file missing)

    O2 - BHO: (no name) - {BE8156D3-A3C6-4AA4-80D0-04578EBA249D} - C:\windows\system32\ssqro.dll (file missing)

    O2 - BHO: (no name) - {CEAB1E45-BB8D-4A85-B356-79028FEE94CE} - C:\windows\system32\pmnnopm.dll (file missing)

    Puis quand tu as coché tout ça tu clique sur "Fix Checked"

    Puis repost un log hijack
    0
  17. Saiyen75 Messages postés 2699 Statut Membre 184
     
    J'ai eut un probleme j'ai fait une mauvaise manip et du coup je n'ai plus ces 4 fichiers dans hijackthis il m'a poser une question j'ai fait yes et je ne les vois plus dedans.
    Y'a t'il un moyen de les retrouver ?
    Sinon je suis toujours a faire l'analyse avec AVG (qui est longue d'ailleur)
    0
  18. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Re,

    Ben le but c'etait sa :D tu as des dysfonctionnements ???
    0
  19. Saiyen75 Messages postés 2699 Statut Membre 184
     
    Ah ok, ça me rassure, que veut tu dire par dysfonctionnement ? tu parle de mon pc ? reboot ? plantage ? ou je suis a coté de la plaque ? lol
    0
  20. Darkkiller Messages postés 2336 Statut Contributeur 67
     
    Laisse tomber me suis trompé de topic :s:s

    Tu as des infections avec avg ???
    0
  • 1
  • 2
  • 3
  • 4
  • 5