Guerre contre trojan win32.small.EPG

JEJEnancy -  
 NZE -
A s arracher les cheuveux : j ai beau le supprimer il réaparait infectant un nouveau fichier; la mise en quarantaine est refusée ...
Il sagit du gentil trojan win32.small.EPG
Alors a l aide, toute les deux minutes avast declanche l alarme ca devient infernal ...
Que faire ?
jeje
Configuration: Windows XP
Internet Explorer 6.0

16 réponses

  1. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonjour,

    * Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
  2. nani
     
    bonjour , j ai le meme soucis que toi je ne parviens pas a me débarrasser de 4 virus : win32agent-GKL , win32Crypt-JN ,WIN 32 small-EPJ et WIN 32 dlena-BG. quelqu 'un pourrait il m 'aider? merci
    0
  3. May
     
    Bonjour,
    j'ai aussi le cheval de troie small-EPJ (bien pénible), voici le rapprt HijackThis, si qqn peut m'aider, ça serait vraimenty cool

    Logfile of HijackThis v1.99.1
    Scan saved at 21:24:19, on 23/10/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\System32\winamp.exe
    D:\WINDOWS\System32\Isass.exe
    D:\WINDOWS\System32\ltqxh.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\cmd.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\Program Files\Internet Explorer\IEXPLORE.EXE
    D:\Program Files\MSN Messenger\usnsvc.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {2736D1FB-E735-4BB2-A555-BEB2840C674C} - D:\WINDOWS\System32\mlljh.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - D:\WINDOWS\System32\tmp71.tmp.dll
    O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - D:\WINDOWS\System32\feppwpwr.dll
    O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - D:\WINDOWS\System32\awtqnkh.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\System32\feppwpwr.dll
    O4 - HKLM\..\Run: [Winamp Agent] D:\WINDOWS\System32\winamp.exe
    O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Services] D:\WINDOWS\System32\ltqxh.exe
    O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "D:\WINDOWS\System32\ofejnvct.dll",sitypnow
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - AppInit_DLLs: d:\windows\system32\pmnnnkj.dll
    O20 - Winlogon Notify: awtqnkh - D:\WINDOWS\SYSTEM32\awtqnkh.dll
    O20 - Winlogon Notify: feppwpwr - D:\WINDOWS\SYSTEM32\feppwpwr.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: DomainService - Unknown owner - D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
    0
  4. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    * Télécharge VundoFix.exe (par Atribune) sur ton Bureau

    http://www.atribune.org/ccount/click.php?id=4

    * Double-clique VundoFix.exe afin de le lancer

    * Clique sur le bouton Scan for Vundo

    * Lorsque le scan est complété, clique sur le bouton Remove Vundo

    * Une invite te demandera si tu veux supprimer les fichiers, clique YES

    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. May
     
    Bonjour,
    OK, donc j'ai fait tout ça, ça s'est passé tout comme t'as dit (y'a juste eu un fichier bien récalcitrant pour lequel il a fallu rebooter 2 fois avant qu'il parte). Y'a déjà du mieux ! : j'avais une "security toolbar" que j'avais jamais demandée qui squattait mon navigateur internet, ben elle est partie !

    Ci-dessous Vundo (ouaou il fait des pages !!), ensuite le rapport HijackThis dans un 2ème message.

    Et MERCI BEAUCOUP pour le coup de main !

    VundoFix V6.5.10

    Checking Java version...

    Sun Java not detected
    Scan started at 13:13:37 24/10/2007

    Listing files found while scanning....

    D:\windows\system32\awtqnkh.dll
    D:\windows\system32\awtqnkk.dll
    D:\windows\system32\cbxuuvs.dll
    D:\windows\system32\cbxvstq.dll
    D:\windows\system32\cbxxwts.dll
    D:\windows\system32\cbxxxuv.dll
    D:\windows\system32\ddccyab.dll
    D:\WINDOWS\System32\feppwpwr.dll
    D:\windows\system32\gebbyxv.dll
    D:\windows\system32\gebxvtt.dll
    D:\windows\system32\hggggdb.dll
    D:\windows\system32\iifdaxu.dll
    D:\windows\system32\iiffffd.dll
    D:\windows\system32\jkkhfed.dll
    D:\windows\system32\jkkljgh.dll
    D:\windows\system32\khffcda.dll
    D:\windows\system32\mljhgdd.dll
    D:\windows\system32\mljhhfe.dll
    D:\windows\system32\mljkkhi.dll
    D:\windows\system32\nnnklji.dll
    D:\windows\system32\nnnlkii.dll
    D:\WINDOWS\System32\ofejnvct.dll
    D:\windows\system32\opnlkkh.dll
    D:\windows\system32\opnmjjg.dll
    D:\windows\system32\pmnnlki.dll
    D:\windows\system32\qomkigf.dll
    D:\WINDOWS\System32\tcvnjefo.ini
    D:\WINDOWS\System32\tmp71.tmp.dll
    D:\windows\system32\urqnnnm.dll
    D:\windows\system32\wvurqpm.dll
    D:\windows\system32\yayywxw.dll

    Beginning removal...

    VundoFix V6.5.10

    Checking Java version...

    Sun Java not detected
    Scan started at 13:20:21 24/10/2007

    Listing files found while scanning....

    D:\windows\system32\awtqnkh.dll
    D:\windows\system32\awtqnkk.dll
    D:\windows\system32\cbxuuvs.dll
    D:\windows\system32\cbxvstq.dll
    D:\windows\system32\cbxxwts.dll
    D:\windows\system32\cbxxxuv.dll
    D:\windows\system32\ddccyab.dll
    D:\WINDOWS\System32\feppwpwr.dll
    D:\windows\system32\gebbyxv.dll
    D:\windows\system32\gebxvtt.dll
    D:\windows\system32\hggggdb.dll
    D:\windows\system32\iifdaxu.dll
    D:\windows\system32\iiffffd.dll
    D:\windows\system32\jkkhfed.dll
    D:\windows\system32\jkkljgh.dll
    D:\windows\system32\khffcda.dll
    D:\windows\system32\mljhgdd.dll
    D:\windows\system32\mljhhfe.dll
    D:\windows\system32\mljkkhi.dll
    D:\windows\system32\nnnklji.dll
    D:\windows\system32\nnnlkii.dll
    D:\WINDOWS\System32\ofejnvct.dll
    D:\windows\system32\opnlkkh.dll
    D:\windows\system32\opnmjjg.dll
    D:\windows\system32\pmnnlki.dll
    D:\windows\system32\qomkigf.dll
    D:\WINDOWS\System32\tcvnjefo.ini
    D:\WINDOWS\System32\tmp71.tmp.dll
    D:\windows\system32\urqnnnm.dll
    D:\windows\system32\wvurqpm.dll
    D:\windows\system32\yayabyv.dll
    D:\windows\system32\yayywxw.dll

    Beginning removal...

    Attempting to delete D:\windows\system32\awtqnkh.dll
    D:\windows\system32\awtqnkh.dll Could not be deleted.

    Attempting to delete D:\windows\system32\awtqnkk.dll
    D:\windows\system32\awtqnkk.dll Has been deleted!

    Attempting to delete D:\windows\system32\cbxuuvs.dll
    D:\windows\system32\cbxuuvs.dll Has been deleted!

    Attempting to delete D:\windows\system32\cbxvstq.dll
    D:\windows\system32\cbxvstq.dll Has been deleted!

    Attempting to delete D:\windows\system32\cbxxwts.dll
    D:\windows\system32\cbxxwts.dll Has been deleted!

    Attempting to delete D:\windows\system32\cbxxxuv.dll
    D:\windows\system32\cbxxxuv.dll Has been deleted!

    Attempting to delete D:\windows\system32\ddccyab.dll
    D:\windows\system32\ddccyab.dll Has been deleted!

    Attempting to delete D:\WINDOWS\System32\feppwpwr.dll
    D:\WINDOWS\System32\feppwpwr.dll Has been deleted!

    Attempting to delete D:\windows\system32\gebbyxv.dll
    D:\windows\system32\gebbyxv.dll Has been deleted!

    Attempting to delete D:\windows\system32\gebxvtt.dll
    D:\windows\system32\gebxvtt.dll Has been deleted!

    Attempting to delete D:\windows\system32\hggggdb.dll
    D:\windows\system32\hggggdb.dll Has been deleted!

    Attempting to delete D:\windows\system32\iifdaxu.dll
    D:\windows\system32\iifdaxu.dll Has been deleted!

    Attempting to delete D:\windows\system32\iiffffd.dll
    D:\windows\system32\iiffffd.dll Has been deleted!

    Attempting to delete D:\windows\system32\jkkhfed.dll
    D:\windows\system32\jkkhfed.dll Has been deleted!

    Attempting to delete D:\windows\system32\jkkljgh.dll
    D:\windows\system32\jkkljgh.dll Has been deleted!

    Attempting to delete D:\windows\system32\khffcda.dll
    D:\windows\system32\khffcda.dll Has been deleted!

    Attempting to delete D:\windows\system32\mljhgdd.dll
    D:\windows\system32\mljhgdd.dll Has been deleted!

    Attempting to delete D:\windows\system32\mljhhfe.dll
    D:\windows\system32\mljhhfe.dll Has been deleted!

    Attempting to delete D:\windows\system32\mljkkhi.dll
    D:\windows\system32\mljkkhi.dll Has been deleted!

    Attempting to delete D:\windows\system32\nnnklji.dll
    D:\windows\system32\nnnklji.dll Has been deleted!

    Attempting to delete D:\windows\system32\nnnlkii.dll
    D:\windows\system32\nnnlkii.dll Has been deleted!

    Attempting to delete D:\WINDOWS\System32\ofejnvct.dll
    D:\WINDOWS\System32\ofejnvct.dll Has been deleted!

    Attempting to delete D:\windows\system32\opnlkkh.dll
    D:\windows\system32\opnlkkh.dll Has been deleted!

    Attempting to delete D:\windows\system32\opnmjjg.dll
    D:\windows\system32\opnmjjg.dll Has been deleted!

    Attempting to delete D:\windows\system32\pmnnlki.dll
    D:\windows\system32\pmnnlki.dll Has been deleted!

    Attempting to delete D:\windows\system32\qomkigf.dll
    D:\windows\system32\qomkigf.dll Has been deleted!

    Attempting to delete D:\WINDOWS\System32\tcvnjefo.ini
    D:\WINDOWS\System32\tcvnjefo.ini Has been deleted!

    Attempting to delete D:\WINDOWS\System32\tmp71.tmp.dll
    D:\WINDOWS\System32\tmp71.tmp.dll Has been deleted!

    Attempting to delete D:\windows\system32\urqnnnm.dll
    D:\windows\system32\urqnnnm.dll Has been deleted!

    Attempting to delete D:\windows\system32\wvurqpm.dll
    D:\windows\system32\wvurqpm.dll Has been deleted!

    Attempting to delete D:\windows\system32\yayabyv.dll
    D:\windows\system32\yayabyv.dll Has been deleted!

    Attempting to delete D:\windows\system32\yayywxw.dll
    D:\windows\system32\yayywxw.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete D:\windows\system32\awtqnkh.dll
    D:\windows\system32\awtqnkh.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...
    0
  7. May
     
    Bonjour,
    Voici le rapport HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 13:36:29, on 24/10/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\WINDOWS\System32\Isass.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {B3FB5464-80A4-431C-99DB-CEDAB4FE1014} - D:\WINDOWS\System32\mlljh.dll
    O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - D:\WINDOWS\System32\tuvutqo.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - AppInit_DLLs: d:\windows\system32\pmnnnkj.dll
    O20 - Winlogon Notify: tuvutqo - D:\WINDOWS\SYSTEM32\tuvutqo.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: DomainService - Unknown owner - D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
    0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir

    tu m'étonnes qu'il y a déjà du mieux. As tu vu ce que vundofix t'as viré ?

    * Télécharge combofix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Double clique combofix.exe.

    * Tape sur la touche Y (Yes) pour démarrer le scan.

    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    ainsi qu'un nouveau rapport hijackthis

    0
  9. May
     
    Salut Philae83.
    Merci énormément pour ton aide. Franchement, mon ordi il est tout guéri, et on est redevenus copains.
    Sinon, pour répondr à ta question, ben j'ai pas vu ce que Vundofix m'a viré, paske ce su'il raconte, ben c'est du tchaïnize pour moi. Mais merci pour tout, et t'inquiète pas trop pour la suite tout fonctionne (en plus j'ai installé Firefox à la place de IE qui déconne comme un neuneu et c'est super comme ça).
    Je te up-crédite ta réputation en pensée (paske en réalité je sais pas comment on fait on n'est pas sur eBay ici ^ ^)
    Tchô le hackeur (de rocker)

    PS : ci-dessous rapport combofix + HijackThis pour te faire plaiz'

    PS 2 : je rentre tout juste de vacances ce qui explique mon silence de 10 jours.

    ComboFix 07-11-05.2 - Mayrdeedooch 2007-11-05 17:33:31.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.69 [GMT 1:00]
    Running from: D:\Documents and Settings\Mayrdeedooch\Bureau\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    D:\Documents and Settings\Mayrdeedooch\Application Data\tmp6E.tmp.exe
    D:\Documents and Settings\Mayrdeedooch\Application Data\tmp71.tmp.exe
    D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
    D:\WINDOWS\cookies.ini
    D:\WINDOWS\system32\__c00261E0.dat
    D:\WINDOWS\system32\__c003B172.dat
    D:\WINDOWS\system32\__c0069399.dat
    D:\WINDOWS\system32\__c00736A2.dat
    D:\WINDOWS\system32\__c00C029E.dat
    D:\WINDOWS\system32\__c00E0597.dat
    D:\WINDOWS\system32\3_exception.nls
    D:\WINDOWS\system32\awtqnkh.dll
    D:\WINDOWS\system32\awtropo.dll
    D:\WINDOWS\system32\bcrpncye.dll
    D:\WINDOWS\system32\byxvsqo.dll
    D:\WINDOWS\system32\byxwxvw.dll
    D:\WINDOWS\system32\byxyyyx.dll
    D:\WINDOWS\system32\cbxxuur.dll
    D:\WINDOWS\system32\ddcbbya.dll
    D:\WINDOWS\system32\ddcbyvv.dll
    D:\WINDOWS\system32\ddcyywx.dll
    D:\WINDOWS\system32\dgrpgboo.ini
    D:\WINDOWS\system32\efcaxuu.dll
    D:\WINDOWS\system32\efcaxvw.dll
    D:\WINDOWS\system32\efcddaa.dll
    D:\WINDOWS\system32\efcyaax.dll
    D:\WINDOWS\system32\ehljkwyl.dll
    D:\WINDOWS\system32\fccaaxx.dll
    D:\WINDOWS\system32\feppwpwr.dllbox
    D:\WINDOWS\system32\gsulwuis.dll
    D:\WINDOWS\system32\hggddab.dll
    D:\WINDOWS\system32\hjllm.bak2
    D:\WINDOWS\system32\hjllm.ini
    D:\WINDOWS\system32\hxjqtbeq.dll
    D:\WINDOWS\system32\iexplore.exe
    D:\WINDOWS\system32\iifcaax.dll
    D:\WINDOWS\system32\iifffgf.dll
    D:\WINDOWS\system32\irrnbckh.dll
    D:\WINDOWS\system32\isass.exe
    D:\WINDOWS\system32\jbsbisao.dll
    D:\WINDOWS\system32\jkkijji.dll
    D:\WINDOWS\system32\khfdayx.dll
    D:\WINDOWS\system32\khfgggg.dll
    D:\WINDOWS\system32\mljihgd.dll
    D:\WINDOWS\system32\mlljh.dll
    D:\WINDOWS\system32\obuaoroa.dll
    D:\WINDOWS\system32\oobgprgd.dll
    D:\WINDOWS\system32\opnlkih.dll
    D:\WINDOWS\system32\opnlmkk.dll
    D:\WINDOWS\system32\qomllji.dll
    D:\WINDOWS\system32\rqrqnno.dll
    D:\WINDOWS\system32\rqrsrom.dll
    D:\WINDOWS\system32\sqtoqhpq.dll
    D:\WINDOWS\system32\ssqnmmk.dll
    D:\WINDOWS\system32\ssqronm.dll
    D:\WINDOWS\system32\tuvutqo.dll
    D:\WINDOWS\system32\vtutqro.dll
    D:\WINDOWS\system32\wfffodku.dll
    D:\WINDOWS\system32\xshpjlph.dll
    D:\WINDOWS\system32\xwidqfsl.dll
    D:\WINDOWS\system32\xxyyaxu.dll
    D:\WINDOWS\system32\yayvvwu.dll
    D:\WINDOWS\system32\yayyvsq.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_DOMAINSERVICE
    -------\DomainService
    -------\runtime

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-05 to 2007-11-05 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-05 17:38 24,820 --a------ D:\WINDOWS\system32\gather.exe
    2007-11-05 17:33 83,008 --a------ D:\WINDOWS\system32\yfosfapg.dll
    2007-11-05 17:32 51,200 --a------ D:\WINDOWS\NirCmd.exe
    2007-11-05 15:09 <REP> d-------- D:\Documents and Settings\Mayrdeedooch\Application Data\OpenOffice.org2
    2007-11-05 12:16 35,328 --a------ D:\WINDOWS\system32\iifddax.dll
    2007-11-05 11:55 35,328 --a------ D:\WINDOWS\system32\gebcdee.dll
    2007-11-05 11:35 <REP> d-------- D:\Program Files\OpenOffice.org 2.3
    2007-11-05 11:25 <REP> d-------- D:\Program Files\Java
    2007-11-05 11:24 <REP> d-------- D:\Program Files\Fichiers communs\Java
    2007-11-05 09:12 35,328 --a------ D:\WINDOWS\system32\ddccyww.dll
    2007-11-05 08:51 35,328 --a------ D:\WINDOWS\system32\ddccday.dll
    2007-11-04 22:12 1,156 --a------ D:\WINDOWS\mozver.dat
    2007-11-04 21:44 86,080 --a------ D:\WINDOWS\system32\xwhkklnl.dll
    2007-10-30 05:12 17,408 --a------ D:\WINDOWS\system32\crdq.exe
    2007-10-30 04:51 17,408 --a------ D:\WINDOWS\system32\ajmrbwqt.exe
    2007-10-29 18:25 0 --a------ D:\WINDOWS\nsreg.dat
    2007-10-29 15:37 17,408 --a------ D:\WINDOWS\system32\hmcyjtu.exe
    2007-10-29 15:16 17,408 --a------ D:\WINDOWS\system32\nakgf.exe
    2007-10-29 00:24 17,408 --a------ D:\WINDOWS\system32\bmkx.exe
    2007-10-29 00:03 17,408 --a------ D:\WINDOWS\system32\mnhcaio.exe
    2007-10-28 01:50 <REP> d-------- D:\Documents and Settings\Mayrdeedooch\Application Data\vlc
    2007-10-28 01:45 <REP> d-------- D:\Documents and Settings\Mayrdeedooch\WINDOWS
    2007-10-28 01:42 <REP> d-------- D:\Program Files\VideoLAN
    2007-10-26 17:22 1,635 --a------ D:\WINDOWS\system32\wvwymza.exe
    2007-10-24 15:47 1,635 --a------ D:\WINDOWS\system32\dyqzx.exe
    2007-10-24 12:12 <REP> d-------- D:\Program Files\Fichiers communs\Adobe
    2007-10-22 17:01 <REP> d-------- D:\WINDOWS\Fichiers d'installation de Windows Update
    2007-10-22 16:26 0 --a------ D:\WINDOWS\system32\updetwind.exe
    2007-10-22 16:13 340,032 --a------ D:\WINDOWS\system32\hucdeefy.dll
    2007-10-21 20:47 <REP> d---s---- D:\Documents and Settings\Mayrdeedooch\UserData
    2007-10-21 20:12 <REP> d-------- D:\Program Files\eMule
    2007-10-21 19:44 512 --ah----- D:\WINDOWS\system32\kiwm.exe
    2007-10-21 19:41 <REP> d-------- D:\Program Files\Realtek Sound Manager
    2007-10-21 19:41 <REP> d-------- D:\Program Files\AvRack
    2007-10-21 19:28 <REP> d-------- D:\Documents and Settings\Mayrdeedooch\Contacts
    2007-10-21 19:27 <REP> d----c--- D:\WINDOWS\system32\DRVSTORE
    2007-10-21 19:23 <REP> d-------- D:\Program Files\MSN Messenger
    2007-10-21 12:56 294,912 --a------ D:\WINDOWS\system32\aot.exe
    2007-10-21 12:52 1,635 --a------ D:\WINDOWS\system32\eipxqyzd.exe
    2007-10-21 12:52 43 --a------ D:\WINDOWS\removalfile.bat
    2007-10-21 12:51 <REP> d-------- D:\Program Files\Services en ligne

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-22 15:19 --------- d--h--w D:\Program Files\InstallShield Installation Information
    2007-10-22 15:19 --------- d-----w D:\Program Files\Creative
    2007-10-21 13:00 --------- d-----w D:\Program Files\Fichiers communs\InstallShield
    2007-10-21 12:57 --------- d-----w D:\Program Files\Camfrog
    2007-10-21 12:57 --------- d-----w D:\Documents and Settings\Mayrdeedooch\Application Data\Camfrog
    2007-10-21 12:43 --------- d-----w D:\Program Files\Fichiers communs\SpeechEngines
    2007-10-21 12:43 --------- d-----w D:\Program Files\Fichiers communs\ODBC
    2007-10-21 12:36 --------- d-----w D:\Program Files\Alwil Software
    2007-10-21 12:15 --------- d-----w D:\Program Files\microsoft frontpage
    2007-10-21 12:11 241,664 ----a-w D:\WINDOWS\system32\hdb.exe
    2007-10-21 12:10 --------- d-----w D:\Program Files\Fichiers communs\MSSoap
    2007-09-06 10:09 801,144 ----a-w D:\WINDOWS\system32\aswBoot.exe
    2007-09-06 10:05 94,416 ----a-w D:\WINDOWS\system32\drivers\aswmon2.sys
    2007-09-06 10:05 92,848 ----a-w D:\WINDOWS\system32\drivers\aswmon.sys
    2007-09-06 10:03 23,152 ----a-w D:\WINDOWS\system32\drivers\aswRdr.sys
    2007-09-06 10:02 42,912 ----a-w D:\WINDOWS\system32\drivers\aswTdi.sys
    2007-09-06 10:00 95,608 ----a-w D:\WINDOWS\system32\AvastSS.scr
    2007-09-06 10:00 26,624 ----a-w D:\WINDOWS\system32\drivers\aavmker4.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a7251edc-84ad-4bf2-b4b8-ed42e5e4aadd}]
    2007-11-05 17:33 83008 --a------ D:\WINDOWS\System32\yfosfapg.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BCC73622-F72D-4277-803C-D65565A0947F}]
    2007-11-05 08:51 35328 --a------ D:\WINDOWS\system32\ddccday.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Local Security Authority Service"="D:\WINDOWS\System32\Isass.exe" []
    "avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
    "SoundMan"="SOUNDMAN.EXE" [2003-02-10 08:59 D:\WINDOWS\SOUNDMAN.EXE]
    "Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
    "Advanced DHTML Enable"="D:\WINDOWS\System32\crdq.exe" [2007-10-30 05:12]
    "686ae8f6"="D:\WINDOWS\System32\xwhkklnl.dll" [2007-11-04 21:44]
    "SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-06-14 18:32]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="D:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:45]
    "MsnMsgr"="D:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
    "MSMSGS"="D:\Program Files\Messenger\msmsgs.exe" [2002-08-20 14:08]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{BCC73622-F72D-4277-803C-D65565A0947F}"= D:\WINDOWS\system32\ddccday.dll [2007-11-05 08:51 35328]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccday]
    ddccday.dll 2007-11-05 08:51 35328 D:\WINDOWS\system32\ddccday.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"= msv1_0 D:\WINDOWS\System32\mlljh.dll

    .
    **************************************************************************

    catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-05 17:38:24
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-05 17:39:41 - machine was rebooted
    .
    --- E O F ---
    0
  10. May
     
    Et vla le rapport HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 17:51:08, on 05/11/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\cmd.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\WINDOWS\System32\crdq.exe
    D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    D:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    D:\WINDOWS\System32\wuauclt.exe
    D:\Program Files\MSN Messenger\usnsvc.exe
    D:\WINDOWS\system32\notepad.exe
    D:\Program Files\Internet Explorer\IEXPLORE.EXE
    D:\WINDOWS\System32\rundll32.exe
    D:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    D:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {A36D53DD-2E62-4FBA-854F-6EA33D2320EA} - D:\WINDOWS\System32\sstts.dll
    O2 - BHO: {ddaa4e5e-24de-8b4b-2fb4-da48cde1527a} - {a7251edc-84ad-4bf2-b4b8-ed42e5e4aadd} - D:\WINDOWS\System32\yfosfapg.dll
    O2 - BHO: (no name) - {BCC73622-F72D-4277-803C-D65565A0947F} - D:\WINDOWS\system32\ddccday.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\WINDOWS\System32\crdq.exe
    O4 - HKLM\..\Run: [686ae8f6] rundll32.exe "D:\WINDOWS\System32\xwhkklnl.dll",b
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Startup: OpenOffice.org 2.3.lnk = D:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: ddccday - D:\WINDOWS\SYSTEM32\ddccday.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    0
  11. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bOnsoir,

    j'espère que les vacances étaient bonnes :)
    je regarde tes rapports, réponse dans un petit moment
    0
  12. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    encore pas mal de choses
    tu n'as pas la dernière version d'hijackthis, procure la toi ici
    http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
    le prochain rapport, tu te sers de celle ci.

    puis

    * Lance hijackthis puis coche ces lignes :

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {A36D53DD-2E62-4FBA-854F-6EA33D2320EA} - D:\WINDOWS\System32\sstts.dll
    O2 - BHO: {ddaa4e5e-24de-8b4b-2fb4-da48cde1527a} - {a7251edc-84ad-4bf2-b4b8-ed42e5e4aadd} - D:\WINDOWS\System32\yfosfapg.dll
    O2 - BHO: (no name) - {BCC73622-F72D-4277-803C-D65565A0947F} - D:\WINDOWS\system32\ddccday.dll
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\WINDOWS\System32\crdq.exe
    O4 - HKLM\..\Run: [686ae8f6] rundll32.exe "D:\WINDOWS\System32\xwhkklnl.dll",b
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O20 - Winlogon Notify: ddccday - D:\WINDOWS\SYSTEM32\ddccday.dll

    * toutes applications fermées et hors connexion, clique sur "fix checked

    puis

    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    D:\WINDOWS\system32\yfosfapg.dll 
    D:\WINDOWS\system32\iifddax.dll 
    D:\WINDOWS\system32\gebcdee.dll 
    D:\WINDOWS\system32\ddccyww.dll 
    D:\WINDOWS\system32\ddccday.dll 
    D:\WINDOWS\mozver.dat 
    D:\WINDOWS\system32\xwhkklnl.dll 
    D:\WINDOWS\system32\crdq.exe 
    D:\WINDOWS\system32\ajmrbwqt.exe 
    D:\WINDOWS\nsreg.dat
    D:\WINDOWS\System32\Isass.exe 
    D:\WINDOWS\web\related.htm  
    D:\WINDOWS\system32\hmcyjtu.exe 
    D:\WINDOWS\system32\nakgf.exe 
    D:\WINDOWS\system32\bmkx.exe 
    D:\WINDOWS\system32\mnhcaio.exe 
    D:\WINDOWS\system32\wvwymza.exe 
    D:\WINDOWS\system32\dyqzx.exe 
    D:\WINDOWS\system32\updetwind.exe 
    D:\WINDOWS\system32\hucdeefy.dll 
    D:\WINDOWS\system32\kiwm.exe 
    D:\WINDOWS\system32\eipxqyzd.exe 
    D:\WINDOWS\removalfile.bat 
    D:\WINDOWS\System32\yfosfapg.dll 
    D:\WINDOWS\system32\ddccday.dll 
    D:\WINDOWS\System32\mlljh.dll 


    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.

    et

    -démarrer

    -poste de travail ou autre dossier

    -menu outils

    -options de dossier

    -onglet affichage

    puis

    - activer la case : Afficher les fichiers et dossiers cachés

    - désactiver la case : Masquer les extensions des fichiers dont le type est connu

    - désactiver la case : Masquer les fichier protégés du système d'exploitation

    Puis - Appliquer

    puis

    * Rend toit sur VIRUS TOTAL
    http://www.virustotal.com/en/indexf.html

    Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

    D:\WINDOWS\system32\aot.exe

    reposte ensuite les différents rapports stp
    0
  13. May
     
    Bonjour,
    Vla le rapport OTMovelt :

    DllUnregisterServer procedure not found in D:\WINDOWS\system32\yfosfapg.dll
    D:\WINDOWS\system32\yfosfapg.dll NOT unregistered.
    D:\WINDOWS\system32\yfosfapg.dll moved successfully.
    DllUnregisterServer procedure not found in D:\WINDOWS\system32\iifddax.dll
    D:\WINDOWS\system32\iifddax.dll NOT unregistered.
    D:\WINDOWS\system32\iifddax.dll moved successfully.
    DllUnregisterServer procedure not found in D:\WINDOWS\system32\gebcdee.dll
    D:\WINDOWS\system32\gebcdee.dll NOT unregistered.
    D:\WINDOWS\system32\gebcdee.dll moved successfully.
    DllUnregisterServer procedure not found in D:\WINDOWS\system32\ddccyww.dll
    D:\WINDOWS\system32\ddccyww.dll NOT unregistered.
    D:\WINDOWS\system32\ddccyww.dll moved successfully.
    DllUnregisterServer procedure not found in D:\WINDOWS\system32\ddccday.dll
    D:\WINDOWS\system32\ddccday.dll NOT unregistered.
    D:\WINDOWS\system32\ddccday.dll moved successfully.
    D:\WINDOWS\mozver.dat moved successfully.
    File/Folder D:\WINDOWS\system32\xwhkklnl.dll not found.
    D:\WINDOWS\system32\crdq.exe moved successfully.
    D:\WINDOWS\system32\ajmrbwqt.exe moved successfully.
    D:\WINDOWS\nsreg.dat moved successfully.
    File/Folder D:\WINDOWS\System32\Isass.exe not found.
    D:\WINDOWS\web\related.htm moved successfully.
    D:\WINDOWS\system32\hmcyjtu.exe moved successfully.
    D:\WINDOWS\system32\nakgf.exe moved successfully.
    D:\WINDOWS\system32\bmkx.exe moved successfully.
    D:\WINDOWS\system32\mnhcaio.exe moved successfully.
    D:\WINDOWS\system32\wvwymza.exe moved successfully.
    D:\WINDOWS\system32\dyqzx.exe moved successfully.
    D:\WINDOWS\system32\updetwind.exe moved successfully.
    File/Folder D:\WINDOWS\system32\hucdeefy.dll not found.
    D:\WINDOWS\system32\kiwm.exe moved successfully.
    D:\WINDOWS\system32\eipxqyzd.exe moved successfully.
    D:\WINDOWS\removalfile.bat moved successfully.
    File/Folder D:\WINDOWS\System32\yfosfapg.dll not found.
    File/Folder D:\WINDOWS\system32\ddccday.dll not found.
    File/Folder D:\WINDOWS\System32\mlljh.dll not found.

    Created on 11/07/2007 19:35:26
    0
  14. May
     
    Je précise qu'avant de lancer OTMovelt, je me suis refais un petit coup de VondoFix, car les problèmes avec IE sont revenus (il m'ouvre des pages alors que je lui ai rien demandé, je vais finir par le désinstaller totalement de l'ordi).
    Du coup sur le nouveau rapport HijackThis (avec la dernière version), y'avait pas toutes les lignes à cocher que tu m'as indiquées, j'ai coché celles qui y étaient et qui correspondaient.

    Enfin bon, voila le rapport Virus Total :

    Fichier aot.exe reçu le 2007.11.07 19:44:47 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Fichier aot.exe reçu le 2007.11.07 19:44:47 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 15/32 (46.88%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 4.
    L'heure estimée de démarrage est entre 49 et 70 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2007.11.8.0 2007.11.07 -
    AntiVir 7.6.0.34 2007.11.07 HEUR/Crypted
    Authentium 4.93.8 2007.11.07 -
    Avast 4.7.1074.0 2007.11.06 -
    AVG 7.5.0.503 2007.11.07 SHeur.UGV
    BitDefender 7.2 2007.11.07 -
    CAT-QuickHeal 9.00 2007.11.07 Backdoor.SdBot.gen
    ClamAV 0.91.2 2007.11.07 PUA.Packed.Themida
    DrWeb 4.44.0.09170 2007.11.07 -
    eSafe 7.0.15.0 2007.11.06 -
    eTrust-Vet 31.2.5276 2007.11.07 Win32/Petribot.ASA
    Ewido 4.0 2007.11.07 -
    FileAdvisor 1 2007.11.07 -
    Fortinet 3.11.0.0 2007.10.19 -
    F-Prot 4.4.2.54 2007.11.07 -
    F-Secure 6.70.13030.0 2007.11.07 Backdoor.Win32.SdBot.ceq
    Ikarus T3.1.1.12 2007.11.07 Generic.Sdbot
    Kaspersky 7.0.0.125 2007.11.07 Backdoor.Win32.SdBot.ceq
    McAfee 5158 2007.11.07 -
    Microsoft 1.3007 2007.11.07 -
    NOD32v2 2643 2007.11.07 IRC/SdBot
    Norman 5.80.02 2007.11.06 SDBot.gen9
    Panda 9.0.0.4 2007.11.07 -
    Prevx1 V2 2007.11.07 Heuristic: Suspicious Self Modifying EXE
    Rising 20.17.22.00 2007.11.07 Trojan.Win32.Agent.zto
    Sophos 4.23.0 2007.11.07 -
    Sunbelt 2.2.907.0 2007.11.06 VIPRE.Suspicious
    Symantec 10 2007.11.07 -
    TheHacker 6.2.9.118 2007.11.06 -
    VBA32 3.12.2.4 2007.11.06 -
    VirusBuster 4.3.26:9 2007.11.07 Worm.SdBot.TKQ
    Webwasher-Gateway 6.0.1 2007.11.07 Heuristic.Crypted
    Information additionnelle
    File size: 294912 bytes
    MD5: 8e8959f5cdba038e571c085064b6fb3e
    SHA1: e2774598c497f119a2381a17b65c7a934ab3b811
    packers: Themida
    Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=476A7AFF00D638068021049A82100F00DA1F82A1
    Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
    0
  15. May
     
    ...
    Ainsi qu'un nouveau rapport HijackThis (dernière version), j'ai cru comprendre que ça pouvait être utile.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:58:12, on 07/11/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    D:\WINDOWS\System32\ctfmon.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    D:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    D:\WINDOWS\System32\khhxbapw.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\Program Files\MSN Messenger\usnsvc.exe
    D:\WINDOWS\System32\wuauclt.exe
    D:\Program Files\Internet Explorer\IEXPLORE.EXE
    D:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
    O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [686ae8f6] rundll32.exe "D:\WINDOWS\System32\saeeuoyt.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 2.3.lnk = D:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O20 - AppInit_DLLs: D:\WINDOWS\System32\__c001D68.dat
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: DomainService - - D:\WINDOWS\System32\khhxbapw.exe
    0
  16. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir,

    vundo je te l'aurais fait repasser, mais si tu fais de ton côté des choses sans me donner les rapports, je ne vais plus trop savoir où j'en suis :)

    supprime :

    D:\WINDOWS\system32\aot.exe

    * Télécharge combofix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    * Double clique combofix.exe.

    * Tape sur la touche Y (Yes) pour démarrer le scan.

    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    0
  17. NZE
     
    c:\Program Files\MSN Messenger\usnsvc.exe is a Trojan related by Microsoft Services ...
    he's the same Sniffing fonction ...
    be care of this ...
    0