Cheval de troie win32.trojandownloader.small
Résolu
Gaëtan
-
FillPCA Messages postés 2264 Statut Contributeur sécurité -
FillPCA Messages postés 2264 Statut Contributeur sécurité -
Bonjour,
J'ai chopé le cheval de troie win32.trojandownloader.small !
Le fichier infecté est c:\windows\system32\khfdbyw.dll que je n'arrive pas à supprimer. J'ai essayé de le supprimer par des logiciels au reboot au reboot, ça ne fonctionne pas non plus...
Et dans Hijackthis, lorsque je fais "delete a file on reboot", je n'ai aucune fenêtre qui s'ouvre...
A l'aide !
Merci d'avance
J'ai chopé le cheval de troie win32.trojandownloader.small !
Le fichier infecté est c:\windows\system32\khfdbyw.dll que je n'arrive pas à supprimer. J'ai essayé de le supprimer par des logiciels au reboot au reboot, ça ne fonctionne pas non plus...
Et dans Hijackthis, lorsque je fais "delete a file on reboot", je n'ai aucune fenêtre qui s'ouvre...
A l'aide !
Merci d'avance
Configuration: Windows XP Firefox 2.0.0.9
A voir également:
- Cheval de troie win32.trojandownloader.small
- Antivirus cheval de troie - Télécharger - Antivirus & Antimalwares
- Un cheval de Troie caché dans un antivirus sur le Play Store - Guide
- Win32:malware-gen ✓ - Forum Virus
- Puabundler win32 candyopen - Forum Virus
- Être à cheval entre deux choses - Forum Études / Formation High-Tech
58 réponses
- 1
- 2
- 3
Suivant
Résumé de la discussion
L'infection win32.trojandownloader.small touche le fichier khfdbyw.dll dans le répertoire system32 et résiste aux tentatives de suppression et de nettoyage, compliquant le nettoyage sous Windows XP. Plusieurs éléments de réponse recommandent d'utiliser ComboFix avec un script CFScript.txt pour supprimer les composants malveillants et les entrées de registre, puis d'examiner le rapport ComboFix.txt et les fichiers temporaires. D'autres interventions évoquent Avenger et Kaspersky, indiquant des suppressions partielles de certains fichiers et clés Winlogon, avec un besoin de scans supplémentaires pour nettoyer les objets infectés et restaurer le système. Par ailleurs, des rapports de balayage ont détecté de multiples éléments infectés, notamment des fichiers temporaires et des DLL dans le répertoire system32, suggérant l'étendue des traces laissées par l'infection.
Re,
* Sélectionne le texte suivant :
* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-note (programme>Accessoire>bloc-note).
* Colle le texte copié dans ce bloc-note (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}]
[HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crehcjid]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfdbyw]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\°€€]
File::
C:\install.dat
C:\WINDOWS\system32\96.tmp
C:\WINDOWS\system32\131.tmp
C:\WINDOWS\system32\12F.tmp
C:\WINDOWS\system32\12D.tmp
C:\WINDOWS\system32\12B.tmp
C:\WINDOWS\system32\129.tmp
C:\WINDOWS\system32\127.tmp
C:\WINDOWS\system32\125.tmp
C:\WINDOWS\system32\123.tmp
C:\WINDOWS\system32\121.tmp
C:\WINDOWS\system32\11F.tmp
C:\WINDOWS\system32\11D.tmp
C:\WINDOWS\system32\11B.tmp
C:\WINDOWS\system32\119.tmp
C:\WINDOWS\system32\117.tmp
C:\WINDOWS\system32\115.tmp
C:\WINDOWS\system32\113.tmp
C:\WINDOWS\system32\111.tmp
C:\WINDOWS\system32\10F.tmp
C:\WINDOWS\system32\10D.tmp
C:\WINDOWS\system32\10B.tmp
C:\WINDOWS\system32\109.tmp
C:\WINDOWS\system32\107.tmp
C:\WINDOWS\system32\105.tmp
C:\WINDOWS\system32\FF.tmp
C:\WINDOWS\system32\103.tmp
C:\WINDOWS\system32\101.tmp
C:\WINDOWS\system32\FD.tmp
C:\WINDOWS\system32\FB.tmp
C:\WINDOWS\system32\F9.tmp
C:\WINDOWS\system32\F7.tmp
C:\WINDOWS\system32\F5.tmp
C:\WINDOWS\system32\F3.tmp
C:\WINDOWS\system32\F1.tmp
C:\WINDOWS\system32\EF.tmp
C:\WINDOWS\system32\ED.tmp
C:\WINDOWS\system32\EB.tmp
C:\WINDOWS\system32\E9.tmp
C:\WINDOWS\system32\E7.tmp
C:\WINDOWS\system32\E5.tmp
C:\WINDOWS\system32\E3.tmp
C:\WINDOWS\system32\E1.tmp
C:\WINDOWS\system32\DF.tmp
C:\WINDOWS\system32\DD.tmp
C:\WINDOWS\system32\DB.tmp
C:\WINDOWS\system32\D9.tmp
C:\WINDOWS\system32\D7.tmp
C:\WINDOWS\system32\D5.tmp
C:\WINDOWS\system32\D3.tmp
C:\WINDOWS\system32\D1.tmp
C:\WINDOWS\system32\CF.tmp
C:\WINDOWS\system32\CD.tmp
C:\WINDOWS\system32\CB.tmp
C:\WINDOWS\system32\C9.tmp
C:\WINDOWS\system32\C7.tmp
C:\WINDOWS\system32\C5.tmp
C:\WINDOWS\system32\C3.tmp
C:\WINDOWS\system32\C1.tmp
C:\WINDOWS\system32\BF.tmp
C:\WINDOWS\system32\BD.tmp
C:\WINDOWS\system32\BB.tmp
C:\WINDOWS\system32\B9.tmp
C:\WINDOWS\system32\B7.tmp
C:\WINDOWS\system32\B5.tmp
C:\WINDOWS\system32\B3.tmp
C:\WINDOWS\system32\B1.tmp
C:\WINDOWS\system32\AF.tmp
C:\WINDOWS\system32\AD.tmp
C:\WINDOWS\system32\AB.tmp
C:\WINDOWS\system32\A9.tmp
C:\WINDOWS\system32\A7.tmp
C:\WINDOWS\system32\A5.tmp
C:\WINDOWS\system32\A3.tmp
C:\WINDOWS\system32\A1.tmp
C:\WINDOWS\system32\9F.tmp
C:\WINDOWS\system32\9D.tmp
C:\WINDOWS\system32\9B.tmp
C:\WINDOWS\system32\99.tmp
C:\WINDOWS\system32\97.tmp
C:\WINDOWS\system32\95.tmp
C:\WINDOWS\system32\93.tmp
C:\WINDOWS\system32\91.tmp
C:\WINDOWS\system32\8F.tmp
C:\WINDOWS\system32\8D.tmp
C:\WINDOWS\system32\8B.tmp
C:\WINDOWS\system32\89.tmp
C:\WINDOWS\system32\84.tmp
C:\WINDOWS\system32\7E.tmp
C:\WINDOWS\system32\7C.tmp
C:\WINDOWS\system32\7A.tmp
C:\WINDOWS\system32\78.tmp
C:\WINDOWS\system32\76.tmp
C:\WINDOWS\system32\khfdbyw.dll
C:\WINDOWS\System32\crehcjid.dll
C:\mwjqxanu.exe
C:\opnvmwvi.exe
C:\pgdxf.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Edite le rapport Combofix, un rapport SRENg et un rapport PCA.
FillPCA
* Sélectionne le texte suivant :
* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-note (programme>Accessoire>bloc-note).
* Colle le texte copié dans ce bloc-note (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}]
[HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crehcjid]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfdbyw]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\°€€]
File::
C:\install.dat
C:\WINDOWS\system32\96.tmp
C:\WINDOWS\system32\131.tmp
C:\WINDOWS\system32\12F.tmp
C:\WINDOWS\system32\12D.tmp
C:\WINDOWS\system32\12B.tmp
C:\WINDOWS\system32\129.tmp
C:\WINDOWS\system32\127.tmp
C:\WINDOWS\system32\125.tmp
C:\WINDOWS\system32\123.tmp
C:\WINDOWS\system32\121.tmp
C:\WINDOWS\system32\11F.tmp
C:\WINDOWS\system32\11D.tmp
C:\WINDOWS\system32\11B.tmp
C:\WINDOWS\system32\119.tmp
C:\WINDOWS\system32\117.tmp
C:\WINDOWS\system32\115.tmp
C:\WINDOWS\system32\113.tmp
C:\WINDOWS\system32\111.tmp
C:\WINDOWS\system32\10F.tmp
C:\WINDOWS\system32\10D.tmp
C:\WINDOWS\system32\10B.tmp
C:\WINDOWS\system32\109.tmp
C:\WINDOWS\system32\107.tmp
C:\WINDOWS\system32\105.tmp
C:\WINDOWS\system32\FF.tmp
C:\WINDOWS\system32\103.tmp
C:\WINDOWS\system32\101.tmp
C:\WINDOWS\system32\FD.tmp
C:\WINDOWS\system32\FB.tmp
C:\WINDOWS\system32\F9.tmp
C:\WINDOWS\system32\F7.tmp
C:\WINDOWS\system32\F5.tmp
C:\WINDOWS\system32\F3.tmp
C:\WINDOWS\system32\F1.tmp
C:\WINDOWS\system32\EF.tmp
C:\WINDOWS\system32\ED.tmp
C:\WINDOWS\system32\EB.tmp
C:\WINDOWS\system32\E9.tmp
C:\WINDOWS\system32\E7.tmp
C:\WINDOWS\system32\E5.tmp
C:\WINDOWS\system32\E3.tmp
C:\WINDOWS\system32\E1.tmp
C:\WINDOWS\system32\DF.tmp
C:\WINDOWS\system32\DD.tmp
C:\WINDOWS\system32\DB.tmp
C:\WINDOWS\system32\D9.tmp
C:\WINDOWS\system32\D7.tmp
C:\WINDOWS\system32\D5.tmp
C:\WINDOWS\system32\D3.tmp
C:\WINDOWS\system32\D1.tmp
C:\WINDOWS\system32\CF.tmp
C:\WINDOWS\system32\CD.tmp
C:\WINDOWS\system32\CB.tmp
C:\WINDOWS\system32\C9.tmp
C:\WINDOWS\system32\C7.tmp
C:\WINDOWS\system32\C5.tmp
C:\WINDOWS\system32\C3.tmp
C:\WINDOWS\system32\C1.tmp
C:\WINDOWS\system32\BF.tmp
C:\WINDOWS\system32\BD.tmp
C:\WINDOWS\system32\BB.tmp
C:\WINDOWS\system32\B9.tmp
C:\WINDOWS\system32\B7.tmp
C:\WINDOWS\system32\B5.tmp
C:\WINDOWS\system32\B3.tmp
C:\WINDOWS\system32\B1.tmp
C:\WINDOWS\system32\AF.tmp
C:\WINDOWS\system32\AD.tmp
C:\WINDOWS\system32\AB.tmp
C:\WINDOWS\system32\A9.tmp
C:\WINDOWS\system32\A7.tmp
C:\WINDOWS\system32\A5.tmp
C:\WINDOWS\system32\A3.tmp
C:\WINDOWS\system32\A1.tmp
C:\WINDOWS\system32\9F.tmp
C:\WINDOWS\system32\9D.tmp
C:\WINDOWS\system32\9B.tmp
C:\WINDOWS\system32\99.tmp
C:\WINDOWS\system32\97.tmp
C:\WINDOWS\system32\95.tmp
C:\WINDOWS\system32\93.tmp
C:\WINDOWS\system32\91.tmp
C:\WINDOWS\system32\8F.tmp
C:\WINDOWS\system32\8D.tmp
C:\WINDOWS\system32\8B.tmp
C:\WINDOWS\system32\89.tmp
C:\WINDOWS\system32\84.tmp
C:\WINDOWS\system32\7E.tmp
C:\WINDOWS\system32\7C.tmp
C:\WINDOWS\system32\7A.tmp
C:\WINDOWS\system32\78.tmp
C:\WINDOWS\system32\76.tmp
C:\WINDOWS\system32\khfdbyw.dll
C:\WINDOWS\System32\crehcjid.dll
C:\mwjqxanu.exe
C:\opnvmwvi.exe
C:\pgdxf.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Edite le rapport Combofix, un rapport SRENg et un rapport PCA.
FillPCA
Slt !
Generalement mieux vaut suprimmer un troyen avec l'anti virus ^^"
Essaye de lancer un scan avec ton anti-virus et voit ce qu'il trouve .
A+
Generalement mieux vaut suprimmer un troyen avec l'anti virus ^^"
Essaye de lancer un scan avec ton anti-virus et voit ce qu'il trouve .
A+
ok,
j'ai lancé l'anti-virus...
j'ai trouvé ça sur Internet :
KHFDBYW.DLL
AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:
DEFINITION OF: KHFDBYW.DLL
* Safety Rating: Known Spyware, do not run
* Spyware Family: Part of Spyware group - SpywareQuake
* Determination: Automatically determined using Prevx centralized heuristics
* Malware Form: EXPLOIT
* Additional Info: Bogus antispyware application
Apparemment, il bugue les applications antispyware !!! ça doit être pour ça que je n'ai pas accès à "delete a file on reboot" dans hijackthis !
j'ai lancé l'anti-virus...
j'ai trouvé ça sur Internet :
KHFDBYW.DLL
AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:
DEFINITION OF: KHFDBYW.DLL
* Safety Rating: Known Spyware, do not run
* Spyware Family: Part of Spyware group - SpywareQuake
* Determination: Automatically determined using Prevx centralized heuristics
* Malware Form: EXPLOIT
* Additional Info: Bogus antispyware application
Apparemment, il bugue les applications antispyware !!! ça doit être pour ça que je n'ai pas accès à "delete a file on reboot" dans hijackthis !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
winlogon.exe est un processus servant à gérer l'ouverture et la fermeture des sessions. Je ne peux pas le désactiver...
Oui en effet.. mais tu n'a pas répondu a ma question ! As tu mis les autres fichiers trouvés en quarantaines ?
a+
a+
... ce n'est pas un cheval de troie puisque ad-aware ne cherche que des spywares...
vire le avec ad-aware.
Et t'inquiete pas si c'été un troyen ton anti-virus l'auré trouvé.
A+
vire le avec ad-aware.
Et t'inquiete pas si c'été un troyen ton anti-virus l'auré trouvé.
A+
ad-aware le classe en malware. Il arrive à le mettre en quarantaine mais n'arrive pas à le supprier...
Essaye d'ouvrir la liste des objets mis en quarantaines normalement en cliquant sur le malware tu as l'option suprimer en bas a droite.
A+
A+
Bonjour,
Un antivirus ne pourra rien faire. Il faudrait un rapport Hijackthis mais ça ressemble à du Vundo.
FillPCA
Un antivirus ne pourra rien faire. Il faudrait un rapport Hijackthis mais ça ressemble à du Vundo.
FillPCA
je n'arrive pas à supprimer le fichier infecté puisque c'est un .dll
la connexion Internet est plus lente, le démarrage du pc aussi, explorer.exe veut se connecter à internet, un autre service aussi (détectés par Zone Alarm) , je refuse leurs connexions...
la connexion Internet est plus lente, le démarrage du pc aussi, explorer.exe veut se connecter à internet, un autre service aussi (détectés par Zone Alarm) , je refuse leurs connexions...
Voici le rapport Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:41, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://news.google.com/topstories?hl=fr&gl=FR&ceid=FR:fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] "C:\Program Files\Rainlendar2\Rainlendar2.exe"
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYFR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093333169531
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:41, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://news.google.com/topstories?hl=fr&gl=FR&ceid=FR:fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] "C:\Program Files\Rainlendar2\Rainlendar2.exe"
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYFR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093333169531
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Re,
* Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
* Une invite te demandera si tu veux supprimer les fichiers, clique YES.
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
FillPCA
* Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
* Une invite te demandera si tu veux supprimer les fichiers, clique YES.
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
FillPCA
- 1
- 2
- 3
Suivant
