Cheval de troie win32.trojandownloader.small

[Résolu/Fermé]
Signaler
-
Messages postés
2241
Date d'inscription
samedi 21 avril 2007
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2012
-
Bonjour,

J'ai chopé le cheval de troie win32.trojandownloader.small !

Le fichier infecté est c:\windows\system32\khfdbyw.dll que je n'arrive pas à supprimer. J'ai essayé de le supprimer par des logiciels au reboot au reboot, ça ne fonctionne pas non plus...
Et dans Hijackthis, lorsque je fais "delete a file on reboot", je n'ai aucune fenêtre qui s'ouvre...

A l'aide !

Merci d'avance

58 réponses

Messages postés
2241
Date d'inscription
samedi 21 avril 2007
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2012
122
Re,

* Sélectionne le texte suivant :


* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-note (programme>Accessoire>bloc-note).
* Colle le texte copié dans ce bloc-note (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}]
[HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crehcjid]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfdbyw]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\°€€]

File::
C:\install.dat
C:\WINDOWS\system32\96.tmp
C:\WINDOWS\system32\131.tmp
C:\WINDOWS\system32\12F.tmp
C:\WINDOWS\system32\12D.tmp
C:\WINDOWS\system32\12B.tmp
C:\WINDOWS\system32\129.tmp
C:\WINDOWS\system32\127.tmp
C:\WINDOWS\system32\125.tmp
C:\WINDOWS\system32\123.tmp
C:\WINDOWS\system32\121.tmp
C:\WINDOWS\system32\11F.tmp
C:\WINDOWS\system32\11D.tmp
C:\WINDOWS\system32\11B.tmp
C:\WINDOWS\system32\119.tmp
C:\WINDOWS\system32\117.tmp
C:\WINDOWS\system32\115.tmp
C:\WINDOWS\system32\113.tmp
C:\WINDOWS\system32\111.tmp
C:\WINDOWS\system32\10F.tmp
C:\WINDOWS\system32\10D.tmp
C:\WINDOWS\system32\10B.tmp
C:\WINDOWS\system32\109.tmp
C:\WINDOWS\system32\107.tmp
C:\WINDOWS\system32\105.tmp
C:\WINDOWS\system32\FF.tmp
C:\WINDOWS\system32\103.tmp
C:\WINDOWS\system32\101.tmp
C:\WINDOWS\system32\FD.tmp
C:\WINDOWS\system32\FB.tmp
C:\WINDOWS\system32\F9.tmp
C:\WINDOWS\system32\F7.tmp
C:\WINDOWS\system32\F5.tmp
C:\WINDOWS\system32\F3.tmp
C:\WINDOWS\system32\F1.tmp
C:\WINDOWS\system32\EF.tmp
C:\WINDOWS\system32\ED.tmp
C:\WINDOWS\system32\EB.tmp
C:\WINDOWS\system32\E9.tmp
C:\WINDOWS\system32\E7.tmp
C:\WINDOWS\system32\E5.tmp
C:\WINDOWS\system32\E3.tmp
C:\WINDOWS\system32\E1.tmp
C:\WINDOWS\system32\DF.tmp
C:\WINDOWS\system32\DD.tmp
C:\WINDOWS\system32\DB.tmp
C:\WINDOWS\system32\D9.tmp
C:\WINDOWS\system32\D7.tmp
C:\WINDOWS\system32\D5.tmp
C:\WINDOWS\system32\D3.tmp
C:\WINDOWS\system32\D1.tmp
C:\WINDOWS\system32\CF.tmp
C:\WINDOWS\system32\CD.tmp
C:\WINDOWS\system32\CB.tmp
C:\WINDOWS\system32\C9.tmp
C:\WINDOWS\system32\C7.tmp
C:\WINDOWS\system32\C5.tmp
C:\WINDOWS\system32\C3.tmp
C:\WINDOWS\system32\C1.tmp
C:\WINDOWS\system32\BF.tmp
C:\WINDOWS\system32\BD.tmp
C:\WINDOWS\system32\BB.tmp
C:\WINDOWS\system32\B9.tmp
C:\WINDOWS\system32\B7.tmp
C:\WINDOWS\system32\B5.tmp
C:\WINDOWS\system32\B3.tmp
C:\WINDOWS\system32\B1.tmp
C:\WINDOWS\system32\AF.tmp
C:\WINDOWS\system32\AD.tmp
C:\WINDOWS\system32\AB.tmp
C:\WINDOWS\system32\A9.tmp
C:\WINDOWS\system32\A7.tmp
C:\WINDOWS\system32\A5.tmp
C:\WINDOWS\system32\A3.tmp
C:\WINDOWS\system32\A1.tmp
C:\WINDOWS\system32\9F.tmp
C:\WINDOWS\system32\9D.tmp
C:\WINDOWS\system32\9B.tmp
C:\WINDOWS\system32\99.tmp
C:\WINDOWS\system32\97.tmp
C:\WINDOWS\system32\95.tmp
C:\WINDOWS\system32\93.tmp
C:\WINDOWS\system32\91.tmp
C:\WINDOWS\system32\8F.tmp
C:\WINDOWS\system32\8D.tmp
C:\WINDOWS\system32\8B.tmp
C:\WINDOWS\system32\89.tmp
C:\WINDOWS\system32\84.tmp
C:\WINDOWS\system32\7E.tmp
C:\WINDOWS\system32\7C.tmp
C:\WINDOWS\system32\7A.tmp
C:\WINDOWS\system32\78.tmp
C:\WINDOWS\system32\76.tmp
C:\WINDOWS\system32\khfdbyw.dll
C:\WINDOWS\System32\crehcjid.dll
C:\mwjqxanu.exe
C:\opnvmwvi.exe
C:\pgdxf.exe


* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Edite le rapport Combofix, un rapport SRENg et un rapport PCA.

FillPCA
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 42674 internautes nous ont dit merci ce mois-ci


Slt !

Generalement mieux vaut suprimmer un troyen avec l'anti virus ^^"

Essaye de lancer un scan avec ton anti-virus et voit ce qu'il trouve .

A+
ok,
j'ai lancé l'anti-virus...

j'ai trouvé ça sur Internet :
KHFDBYW.DLL
AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:
DEFINITION OF: KHFDBYW.DLL

* Safety Rating: Known Spyware, do not run
* Spyware Family: Part of Spyware group - SpywareQuake
* Determination: Automatically determined using Prevx centralized heuristics
* Malware Form: EXPLOIT
* Additional Info: Bogus antispyware application

Apparemment, il bugue les applications antispyware !!! ça doit être pour ça que je n'ai pas accès à "delete a file on reboot" dans hijackthis !

Y a t'il une option 'quarantaine' quand le scan se termine ?

Si oui met les en quarantaines.

A+
Le fichier khfdbyw.dll est utilisé par le processus winlogon.exe

As tu une idée d'a quel logiciel "winlogon.exe" et rattaché ?
Essaye de trouver.

A+
winlogon.exe est un processus servant à gérer l'ouverture et la fermeture des sessions. Je ne peux pas le désactiver...

Oui en effet.. mais tu n'a pas répondu a ma question ! As tu mis les autres fichiers trouvés en quarantaines ?

a+
avast edition familiale n'a rien trouvé...
le cheval de troie est juste trouvé par ad-aware

... ce n'est pas un cheval de troie puisque ad-aware ne cherche que des spywares...

vire le avec ad-aware.

Et t'inquiete pas si c'été un troyen ton anti-virus l'auré trouvé.

A+
ad-aware le classe en malware. Il arrive à le mettre en quarantaine mais n'arrive pas à le supprier...

Essaye d'ouvrir la liste des objets mis en quarantaines normalement en cliquant sur le malware tu as l'option suprimer en bas a droite.



A+
j'aimerais bien le virer ce malware parce qu'il ralentit pas mal mon pc...

Devellope un peu , comment sa tu peux pas le suprimer , qu'est-ce qui va pas ... etc..

A+
Messages postés
2241
Date d'inscription
samedi 21 avril 2007
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2012
122
Bonjour,

Un antivirus ne pourra rien faire. Il faudrait un rapport Hijackthis mais ça ressemble à du Vundo.
FillPCA
je n'arrive pas à supprimer le fichier infecté puisque c'est un .dll
la connexion Internet est plus lente, le démarrage du pc aussi, explorer.exe veut se connecter à internet, un autre service aussi (détectés par Zone Alarm) , je refuse leurs connexions...
Voici le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:41, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://news.google.com/topstories?hl=fr&gl=FR&ceid=FR:fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] "C:\Program Files\Rainlendar2\Rainlendar2.exe"
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYFR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093333169531
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
besoin d'aide svp...
Messages postés
2241
Date d'inscription
samedi 21 avril 2007
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2012
122
Re,

* Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
* Une invite te demandera si tu veux supprimer les fichiers, clique YES.
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

FillPCA
Vudofix n'a rien trouvé...
Seul ad-aware le trouve...