@shell32.dll,-1 dans exceptions du pare-feu

laportez Messages postés 7 Statut Membre -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Je suis sous Windows XP.
J'ai nettoyé certains virus (type virut) et remplacé explorer.exe qui me semblait infecté par un explorer.exe propre.
J'ai enlevé les saletés qui me disaient que ma machine étant infectée il fallait que je télécharge des antivirus "efficaces" style "bestseller antivirus".
Cependant en regardant mon pare-feu Windows je m'aperçoit que parmi les exceptions de programmes et services il y a une ligne cochée qui s'intitule "@shell32.dll,-1".
Bizarre
Quelqu'un peut-il me dire de quoi s'agit-il ?
Si c'est le résultat d'un logiciel malicieux, que dois-je faire ?
En attendant je l'ai dcoché.

Autre question, comment savoir si le shell32.dll est propre ? Et sinon comment le remplacer à partir du CD-Rom Windows XP ?

Merci à tous
Configuration: Desktop sous Windows XP
Internet Explorer 7.0
Office 2008

25 réponses

  • 1
  • 2
  1. laportex Messages postés 19 Statut Membre
     
    Personne ne connaît ce service ?
    Merci
    0
  2. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    ce service est plus que louche !

    Télécharge ceci :

    Lien : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

    Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.

    ++
    0
  3. laportex Messages postés 19 Statut Membre
     
    Bonjour,

    (message envoyé depuis une autre machine)

    C'est déjà fait.
    Il me trouve des éléments louches (fichiers récents) :
    en 03 :
    c:\\Windows\System32\wivyboyk.dll (qui dans la base de registre concerne une tolbar IExplorer)
    avec des clés dans les rubriques :
    HKey_Classes_Root\CLSID
    Kkey_Current_User\Software\Microsoft\Internet Explorer\ToolBar\Webexplorer\
    Kkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Ext\Sttings\
    Kkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
    HKey_Local_Machine\Sotware\Classes\CLSID\
    HKey_Local_Machine\Sotware\Microsoft\Internet Explorer\Toolbar\
    KKey_Users\S-1-5-21.............1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
    KKey_Users\S-1-5-21.............1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\
    KKey_Users\S-1-5-21.............1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
    en 020 :
    c:\\Windows\System32\__c00D86D4.dat (qui dans le registre concerne Windows)
    HKey_Local_Machine\Sotware\Microsoft\Windows NT\CurrentVersion\Windows\

    Mais quand je clique sur Fix Checked, rien ne se passe.
    Quand je les supprime avec l'explorateur (ou avec erase sous CMD) j'ai un message : Ce fichier est utilisé par un autre processus.
    Je ne peux pasles supprimer avec la disquette de démarrage XP, car le disque est NTFS.
    Je vais essayer avec FileDeleter ou avec Unlocker.
    Sinon, format disque.

    A moins que quelqu'un me conseille une manip plus performante.

    NB / En fait j'ai malencontreusement attrapé une bestiole qui me dit que je suis infecté par trojan-Spy.win32@mx ou Networm-i.virus@fp et me propose sans arrêt de me connecter à un site pourave pour les nettoyer, en installant des icônes Centre de sécurité.
    et en plus elle a fait du spam à partir de ma machine ...
    et enfin j'ai du mal à désinstaller Office 2007 (pour supprimer Outlook).

    voilà le problème, il y a de quoi faire

    Des idées ?

    Merci d'avance
    0
  4. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    poste le rapport !

    ++
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. laportex Messages postés 19 Statut Membre
     
    Voici le rapport Hijack
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:52:40, on 19/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 75\guard.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
    C:\Program Files\CyberLink\PDVDServ.exe
    C:\WINDOWS\system32\SearchIndexer.exe
    C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Programmes\QuickTime\qttask.exe
    C:\Program Files\Mindjet\MindManager 6\MMReminderService.exe
    C:\Programmes\SlySoft\CloneCD\CloneCDTray.exe
    C:\WINDOWS\system32\ezSP_Px.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 75\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    C:\Programmes\adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Programmes\Wireless LAN Utility\SiWake.exe
    C:\Program Files\Windows Desktop Search\WindowsSearch.exe
    C:\WINDOWS\system32\SearchProtocolHost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Programmes\Wireless LAN Utility\SISCFG.exe
    C:\Program Files\Alwil Software\Avast4\setup\avast.setup
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmes\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\wivyboyk.dll
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PDVDServ.exe"
    O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmes\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [MMReminderService] C:\Program Files\Mindjet\MindManager 6\MMReminderService.exe
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmes\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmes\Adobe\Reader80\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 75\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [pdfSaver3] "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Programmes\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [HijackThis startup scan] C:\Program Files\Trend Micro\HijackThis\HijackThis.exe /startupscan
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmes\adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: SiWake.lnk = C:\Programmes\Wireless LAN Utility\SiWake.exe
    O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://support.norton.com/sp/en/us/home/current/info
    O16 - DPF: {34F12AFD-E9B5-492A-85D2-40FA4535BE83} (AxProdInfoCtl Class) - https://support.norton.com/sp/en/us/home/current/info
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697517} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_aac.cab
    O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://support.norton.com/sp/en/us/home/current/info
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D86D4.dat
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 75\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: VundoFix Service (VundoFixSvc) - Unknown owner - VundoFixSVC.exe (file missing)
    0
  7. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir
    En l'absence momentanée de GreenDay, voici une première estimation:

    Quatre failles de sécurité:
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Programmes\adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

    Le message que tu reçois:
    Online Security Guide et Live Safety Center ==> la plus grande des arnaques !

    Infection:
    O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\wivyboyk.dll ==> Security Toolbar {11A69AE4-FBED-4832-A2BF-45AF82825583} X TB [random filename] VirtuMonde/Vundo adware component
    O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D86D4.dat

    Premièrement
    As-tu utilisé VundoFix ?
    Si oui, poste son rapport.
    Ensuite supprime ta version VundoFix, et poursuis comme ceci :
    Télécharge VundoFix.exe (par Atribune) sur ton Bureau
    http://www.atribune.org/ccount/click.php?id=4 (version 6.6.0.2)
    clic double sur VundoFix.exe afin de le lancer
    clic sur le bouton Scan for Vundo
    Lorsque le scan est complété, clic sur le bouton Remove Vundo
    Une invite te demandera si tu veux supprimer les fichiers, clic YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer;
    clic OK
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clic sur le bouton Scan for Vundo".
    Copie/colle le contenu du rapport situé dans C:\vundofix.txt

    Deuxièmement
    Télécharge VirtumundoBeGone sur ton bureau .
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
    * double-clic sur VirtumundoBeGone.exe
    * Suis les instructions à l'écran
    * Quand le scan est terminé, enregistre le rapport.
    * Copie/Colle le ici
    Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

    Troisièmement

    1)- ScanOnline secuser.com http://www.secuser.com/antivirus/index.htm
    Activer les Actives X , et lire en bas à gauche « Utilisation du scan en ligne »
    (Ou alors là si ça te paraît plus facile http://support.f-secure.fr/fra/home/ols.shtml)
    Poster le rapport

    2)- ScanOnline PANDA
    Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >

    Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.

    Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >

    A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
    •Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
    •Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

    Bonne chance
    Al

    0
  8. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut Afi ;-)

    merci pour le relais !

    @+
    0
  9. laportex
     
    Bonjour,

    VundoFix a trouvé les occurences suivantes :

    C:\windows\system32\gebyv.dll
    C:\windows\system32\vybeg.bak2
    C:\windows\system32\vybeg.ini
    C:\WINDOWS\system32\viWyboyk.dll

    J'ai cliqué sur Remove Vundo

    Merci
    0
  10. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
     
    Salut

    poste le rapport !!

    ++
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Bonjour Green Day,
      C'est un plaisir pour moi.

      Attention, l'internaute manque de précision; par exemple: "ne confirme pas qu'il a bien supprimé l'ancienne version de VundoFix".
      ==> ce qui jette le trouble pcq dans son log, on suppose que c'est VunodFix lui-même qui s'est mis à jour
      (or, je m'attendais à une autre version que 6.6.1 ==> laquelle est peut-être correcte ?).

      Vundo version 6.6.1 n'a donc pas corrigé cette nouvelle variante VUNDO : "__c00D86D4.dat"
      située en O20 - AppInit_DLLs: C:\WINDOWS\system32 .
      Il faudra donc via fix.reg réinitialiser AppInit_DLLs comme ceci:

      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      Bonne chance
      Amicalement
      Al.
      0
    2. green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 166
       
      Merci ! :-)

      Oula ! tu sembles maitriser le sujet bien mieux que moi !

      Si tu veux bien, je te laisse prendre la suite, pour voir comment procéder à l'avenir ;-))

      dis moi si tu en as le temps

      @+
      0
  11. laportex Messages postés 19 Statut Membre
     
    Ca rame pas mal, mais voici le rapport vundo :

    VundoFix V6.5.11

    Checking Java version...

    Java version is 1.5.0.4
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.9
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.10

    Java version is 1.5.0.11

    Scan started at 00:28:29 29/10/2007

    Listing files found while scanning....

    C:\windows\system32\mljiigd.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\mljiigd.dll
    C:\windows\system32\mljiigd.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    VundoFix V6.6.1

    Checking Java version...

    Java version is 1.5.0.4
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.9
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.10

    Java version is 1.5.0.11

    Scan started at 12:03:55 20/11/2007

    Listing files found while scanning....

    C:\windows\system32\gebyv.dll
    C:\windows\system32\vybeg.bak2
    C:\windows\system32\vybeg.ini
    C:\WINDOWS\system32\wivyboyk.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\gebyv.dll
    C:\windows\system32\gebyv.dll Has been deleted!

    Attempting to delete C:\windows\system32\vybeg.bak2
    C:\windows\system32\vybeg.bak2 Has been deleted!

    Attempting to delete C:\windows\system32\vybeg.ini
    C:\windows\system32\vybeg.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\wivyboyk.dll
    C:\WINDOWS\system32\wivyboyk.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\wivyboyk.dll
    C:\WINDOWS\system32\wivyboyk.dll Has been deleted!

    Performing Repairs to the registry.
    Done!
    0
  12. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour laportex

    Il manque encore des analyses à exécuter dans l'ordre.

    Merci
    Al
    0
  13. laportex Messages postés 19 Statut Membre
     
    Ca rame toujours autant, mais voici le nouveau rapport VundoFix :

    Et je continue avec VirtumundoBeGone.exe

    VundoFix V6.5.11

    Checking Java version...

    Java version is 1.5.0.4
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.9
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.10

    Java version is 1.5.0.11

    Scan started at 00:28:29 29/10/2007

    Listing files found while scanning....

    C:\windows\system32\mljiigd.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\mljiigd.dll
    C:\windows\system32\mljiigd.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    VundoFix V6.6.1

    Checking Java version...

    Java version is 1.5.0.4
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.9
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.10

    Java version is 1.5.0.11

    Scan started at 12:03:55 20/11/2007

    Listing files found while scanning....

    C:\windows\system32\gebyv.dll
    C:\windows\system32\vybeg.bak2
    C:\windows\system32\vybeg.ini
    C:\WINDOWS\system32\wivyboyk.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\gebyv.dll
    C:\windows\system32\gebyv.dll Has been deleted!

    Attempting to delete C:\windows\system32\vybeg.bak2
    C:\windows\system32\vybeg.bak2 Has been deleted!

    Attempting to delete C:\windows\system32\vybeg.ini
    C:\windows\system32\vybeg.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\wivyboyk.dll
    C:\WINDOWS\system32\wivyboyk.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\wivyboyk.dll
    C:\WINDOWS\system32\wivyboyk.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.6.1

    Checking Java version...

    Java version is 1.5.0.4
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.9
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.10

    Java version is 1.5.0.11

    Scan started at 15:42:43 20/11/2007

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...
    0
  14. laportex Messages postés 19 Statut Membre
     
    Je fais Fix.reg (j'ai fait une sauvegarde du registre)
    et puis VirtumundoBeGone.exe
    0
  15. laportex Messages postés 19 Statut Membre
     
    fix.reg ne fait rien
    Donc j'ai modifié la clé manuellement
    Mais AVG Antipy a trouvé : Downloader.ConHook.hl (sur C:\WINDOWS\system32\__c00D86D4.dat) et l'a mis en quarantaine avec redémarrage
    0
  16. laportex Messages postés 19 Statut Membre
     
    Je lance VirtumundoBeGone.exe avant de redémarrer le système ?

    Merci
    0
  17. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    .... analyses à exécuter dans l'ordre.

    Fix.reg ultérieurement de manière à voir l'effet de Virtumondo .

    Dommage .

    Rép. à "comment savoir si le shell32.dll est propre ?" ==> VirusTotal ou Jotti.
    0
  18. laportex Messages postés 19 Statut Membre
     
    Voici le rapport de VirtumondeBgone :

    [11/20/2007, 17:19:40] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Guy\Bureau\VirtumundoBeGone.exe" )
    [11/20/2007, 17:19:52] - Detected System Information:
    [11/20/2007, 17:19:52] - Windows Version: 5.1.2600, Service Pack 2
    [11/20/2007, 17:19:52] - Current Username: Guy (Admin)
    [11/20/2007, 17:19:52] - Windows is in NORMAL mode.
    [11/20/2007, 17:19:52] - Searching for Browser Helper Objects:
    [11/20/2007, 17:19:52] - BHO 1: {0ace0abc-1243-4730-a30d-6eeccd395313} ()
    [11/20/2007, 17:19:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [11/20/2007, 17:19:52] - No filename found. Continuing.
    [11/20/2007, 17:19:52] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [11/20/2007, 17:19:52] - BHO 3: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
    [11/20/2007, 17:19:53] - BHO 4: {AC41D38F-B56D-40AD-94E0-B493D130C959} (CmjBrowserHelperObject Object)
    [11/20/2007, 17:19:53] - BHO 5: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
    [11/20/2007, 17:19:53] - BHO 6: {CA03B2A5-B596-4EC6-B93C-F4751AC999D9} ()
    [11/20/2007, 17:19:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [11/20/2007, 17:19:53] - Checking for HKLM\...\Winlogon\Notify\gebyv
    [11/20/2007, 17:19:53] - Key not found: HKLM\...\Winlogon\Notify\gebyv, continuing.
    [11/20/2007, 17:19:53] - Finished Searching Browser Helper Objects
    [11/20/2007, 17:19:53] - Finishing up...
    [11/20/2007, 17:19:53] - Nothing found! Exiting...
    0
  19. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    (suite)

    Cit. « fix.reg ne fait rien » ==> ??
    Donne-moi exactement ta procédure et ton script ==> recopie-le ici, SVP.
    Qu'entends-tu par "ne fait rien" ?
    Quel indice (par exemple dans la BdR) te permet une telle conclusion; dès lors qu'il s'agissait de réinitialiser la valeur "AppInit_DLLs", et non pas de supprimer C:\WINDOWS\system32\__c00D86D4.dat .

    Ce qu'a fait AVG-AS ==> ce qui nous empêche de voir l'action des applications que tu ne fais pas.

    Nous attendons post # 7 ==> des analyses à exécuter dans l'ordre ==> et j'ajouterais complètement.
    Nous n'allons pas y passer la nuit; ni dans le désordre qui trouble notre raisonnement et nous empêche de voir ce que nous voulons voir.

    Merci
    Al.
    0
  20. laportex Messages postés 19 Statut Membre
     
    ça rame trop poue secuser.com
    0
  • 1
  • 2