Cheval de troie win32.trojandownloader.small
Résolu/Fermé
Gaëtan
-
25 nov. 2007 à 09:25
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Non membre Dernière intervention 18 février 2023 - 26 nov. 2007 à 20:31
FillPCA Messages postés 2242 Date d'inscription samedi 21 avril 2007 Statut Non membre Dernière intervention 18 février 2023 - 26 nov. 2007 à 20:31
A voir également:
- Cheval de troie win32.trojandownloader.small
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Win32 pup gen ✓ - Forum Linux / Unix
- Win32:bogent - Forum Virus
- Win32:malware-gen ✓ - Forum Virus
- Ordinateur bloqué cheval de troie - Forum Virus
58 réponses
FillPCA
Messages postés
2242
Date d'inscription
samedi 21 avril 2007
Statut
Non membre
Dernière intervention
18 février 2023
123
25 nov. 2007 à 17:03
25 nov. 2007 à 17:03
Re,
* Sélectionne le texte suivant :
* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-note (programme>Accessoire>bloc-note).
* Colle le texte copié dans ce bloc-note (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}]
[HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crehcjid]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfdbyw]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\°€€]
File::
C:\install.dat
C:\WINDOWS\system32\96.tmp
C:\WINDOWS\system32\131.tmp
C:\WINDOWS\system32\12F.tmp
C:\WINDOWS\system32\12D.tmp
C:\WINDOWS\system32\12B.tmp
C:\WINDOWS\system32\129.tmp
C:\WINDOWS\system32\127.tmp
C:\WINDOWS\system32\125.tmp
C:\WINDOWS\system32\123.tmp
C:\WINDOWS\system32\121.tmp
C:\WINDOWS\system32\11F.tmp
C:\WINDOWS\system32\11D.tmp
C:\WINDOWS\system32\11B.tmp
C:\WINDOWS\system32\119.tmp
C:\WINDOWS\system32\117.tmp
C:\WINDOWS\system32\115.tmp
C:\WINDOWS\system32\113.tmp
C:\WINDOWS\system32\111.tmp
C:\WINDOWS\system32\10F.tmp
C:\WINDOWS\system32\10D.tmp
C:\WINDOWS\system32\10B.tmp
C:\WINDOWS\system32\109.tmp
C:\WINDOWS\system32\107.tmp
C:\WINDOWS\system32\105.tmp
C:\WINDOWS\system32\FF.tmp
C:\WINDOWS\system32\103.tmp
C:\WINDOWS\system32\101.tmp
C:\WINDOWS\system32\FD.tmp
C:\WINDOWS\system32\FB.tmp
C:\WINDOWS\system32\F9.tmp
C:\WINDOWS\system32\F7.tmp
C:\WINDOWS\system32\F5.tmp
C:\WINDOWS\system32\F3.tmp
C:\WINDOWS\system32\F1.tmp
C:\WINDOWS\system32\EF.tmp
C:\WINDOWS\system32\ED.tmp
C:\WINDOWS\system32\EB.tmp
C:\WINDOWS\system32\E9.tmp
C:\WINDOWS\system32\E7.tmp
C:\WINDOWS\system32\E5.tmp
C:\WINDOWS\system32\E3.tmp
C:\WINDOWS\system32\E1.tmp
C:\WINDOWS\system32\DF.tmp
C:\WINDOWS\system32\DD.tmp
C:\WINDOWS\system32\DB.tmp
C:\WINDOWS\system32\D9.tmp
C:\WINDOWS\system32\D7.tmp
C:\WINDOWS\system32\D5.tmp
C:\WINDOWS\system32\D3.tmp
C:\WINDOWS\system32\D1.tmp
C:\WINDOWS\system32\CF.tmp
C:\WINDOWS\system32\CD.tmp
C:\WINDOWS\system32\CB.tmp
C:\WINDOWS\system32\C9.tmp
C:\WINDOWS\system32\C7.tmp
C:\WINDOWS\system32\C5.tmp
C:\WINDOWS\system32\C3.tmp
C:\WINDOWS\system32\C1.tmp
C:\WINDOWS\system32\BF.tmp
C:\WINDOWS\system32\BD.tmp
C:\WINDOWS\system32\BB.tmp
C:\WINDOWS\system32\B9.tmp
C:\WINDOWS\system32\B7.tmp
C:\WINDOWS\system32\B5.tmp
C:\WINDOWS\system32\B3.tmp
C:\WINDOWS\system32\B1.tmp
C:\WINDOWS\system32\AF.tmp
C:\WINDOWS\system32\AD.tmp
C:\WINDOWS\system32\AB.tmp
C:\WINDOWS\system32\A9.tmp
C:\WINDOWS\system32\A7.tmp
C:\WINDOWS\system32\A5.tmp
C:\WINDOWS\system32\A3.tmp
C:\WINDOWS\system32\A1.tmp
C:\WINDOWS\system32\9F.tmp
C:\WINDOWS\system32\9D.tmp
C:\WINDOWS\system32\9B.tmp
C:\WINDOWS\system32\99.tmp
C:\WINDOWS\system32\97.tmp
C:\WINDOWS\system32\95.tmp
C:\WINDOWS\system32\93.tmp
C:\WINDOWS\system32\91.tmp
C:\WINDOWS\system32\8F.tmp
C:\WINDOWS\system32\8D.tmp
C:\WINDOWS\system32\8B.tmp
C:\WINDOWS\system32\89.tmp
C:\WINDOWS\system32\84.tmp
C:\WINDOWS\system32\7E.tmp
C:\WINDOWS\system32\7C.tmp
C:\WINDOWS\system32\7A.tmp
C:\WINDOWS\system32\78.tmp
C:\WINDOWS\system32\76.tmp
C:\WINDOWS\system32\khfdbyw.dll
C:\WINDOWS\System32\crehcjid.dll
C:\mwjqxanu.exe
C:\opnvmwvi.exe
C:\pgdxf.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Edite le rapport Combofix, un rapport SRENg et un rapport PCA.
FillPCA
* Sélectionne le texte suivant :
* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-note (programme>Accessoire>bloc-note).
* Colle le texte copié dans ce bloc-note (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}]
[HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{30BAA4DF-E0AB-4AFD-B6D8-FFAA032D0468}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crehcjid]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfdbyw]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\°€€]
File::
C:\install.dat
C:\WINDOWS\system32\96.tmp
C:\WINDOWS\system32\131.tmp
C:\WINDOWS\system32\12F.tmp
C:\WINDOWS\system32\12D.tmp
C:\WINDOWS\system32\12B.tmp
C:\WINDOWS\system32\129.tmp
C:\WINDOWS\system32\127.tmp
C:\WINDOWS\system32\125.tmp
C:\WINDOWS\system32\123.tmp
C:\WINDOWS\system32\121.tmp
C:\WINDOWS\system32\11F.tmp
C:\WINDOWS\system32\11D.tmp
C:\WINDOWS\system32\11B.tmp
C:\WINDOWS\system32\119.tmp
C:\WINDOWS\system32\117.tmp
C:\WINDOWS\system32\115.tmp
C:\WINDOWS\system32\113.tmp
C:\WINDOWS\system32\111.tmp
C:\WINDOWS\system32\10F.tmp
C:\WINDOWS\system32\10D.tmp
C:\WINDOWS\system32\10B.tmp
C:\WINDOWS\system32\109.tmp
C:\WINDOWS\system32\107.tmp
C:\WINDOWS\system32\105.tmp
C:\WINDOWS\system32\FF.tmp
C:\WINDOWS\system32\103.tmp
C:\WINDOWS\system32\101.tmp
C:\WINDOWS\system32\FD.tmp
C:\WINDOWS\system32\FB.tmp
C:\WINDOWS\system32\F9.tmp
C:\WINDOWS\system32\F7.tmp
C:\WINDOWS\system32\F5.tmp
C:\WINDOWS\system32\F3.tmp
C:\WINDOWS\system32\F1.tmp
C:\WINDOWS\system32\EF.tmp
C:\WINDOWS\system32\ED.tmp
C:\WINDOWS\system32\EB.tmp
C:\WINDOWS\system32\E9.tmp
C:\WINDOWS\system32\E7.tmp
C:\WINDOWS\system32\E5.tmp
C:\WINDOWS\system32\E3.tmp
C:\WINDOWS\system32\E1.tmp
C:\WINDOWS\system32\DF.tmp
C:\WINDOWS\system32\DD.tmp
C:\WINDOWS\system32\DB.tmp
C:\WINDOWS\system32\D9.tmp
C:\WINDOWS\system32\D7.tmp
C:\WINDOWS\system32\D5.tmp
C:\WINDOWS\system32\D3.tmp
C:\WINDOWS\system32\D1.tmp
C:\WINDOWS\system32\CF.tmp
C:\WINDOWS\system32\CD.tmp
C:\WINDOWS\system32\CB.tmp
C:\WINDOWS\system32\C9.tmp
C:\WINDOWS\system32\C7.tmp
C:\WINDOWS\system32\C5.tmp
C:\WINDOWS\system32\C3.tmp
C:\WINDOWS\system32\C1.tmp
C:\WINDOWS\system32\BF.tmp
C:\WINDOWS\system32\BD.tmp
C:\WINDOWS\system32\BB.tmp
C:\WINDOWS\system32\B9.tmp
C:\WINDOWS\system32\B7.tmp
C:\WINDOWS\system32\B5.tmp
C:\WINDOWS\system32\B3.tmp
C:\WINDOWS\system32\B1.tmp
C:\WINDOWS\system32\AF.tmp
C:\WINDOWS\system32\AD.tmp
C:\WINDOWS\system32\AB.tmp
C:\WINDOWS\system32\A9.tmp
C:\WINDOWS\system32\A7.tmp
C:\WINDOWS\system32\A5.tmp
C:\WINDOWS\system32\A3.tmp
C:\WINDOWS\system32\A1.tmp
C:\WINDOWS\system32\9F.tmp
C:\WINDOWS\system32\9D.tmp
C:\WINDOWS\system32\9B.tmp
C:\WINDOWS\system32\99.tmp
C:\WINDOWS\system32\97.tmp
C:\WINDOWS\system32\95.tmp
C:\WINDOWS\system32\93.tmp
C:\WINDOWS\system32\91.tmp
C:\WINDOWS\system32\8F.tmp
C:\WINDOWS\system32\8D.tmp
C:\WINDOWS\system32\8B.tmp
C:\WINDOWS\system32\89.tmp
C:\WINDOWS\system32\84.tmp
C:\WINDOWS\system32\7E.tmp
C:\WINDOWS\system32\7C.tmp
C:\WINDOWS\system32\7A.tmp
C:\WINDOWS\system32\78.tmp
C:\WINDOWS\system32\76.tmp
C:\WINDOWS\system32\khfdbyw.dll
C:\WINDOWS\System32\crehcjid.dll
C:\mwjqxanu.exe
C:\opnvmwvi.exe
C:\pgdxf.exe
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Edite le rapport Combofix, un rapport SRENg et un rapport PCA.
FillPCA
Utilisateur anonyme
25 nov. 2007 à 09:29
25 nov. 2007 à 09:29
Slt !
Generalement mieux vaut suprimmer un troyen avec l'anti virus ^^"
Essaye de lancer un scan avec ton anti-virus et voit ce qu'il trouve .
A+
Generalement mieux vaut suprimmer un troyen avec l'anti virus ^^"
Essaye de lancer un scan avec ton anti-virus et voit ce qu'il trouve .
A+
ok,
j'ai lancé l'anti-virus...
j'ai trouvé ça sur Internet :
KHFDBYW.DLL
AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:
DEFINITION OF: KHFDBYW.DLL
* Safety Rating: Known Spyware, do not run
* Spyware Family: Part of Spyware group - SpywareQuake
* Determination: Automatically determined using Prevx centralized heuristics
* Malware Form: EXPLOIT
* Additional Info: Bogus antispyware application
Apparemment, il bugue les applications antispyware !!! ça doit être pour ça que je n'ai pas accès à "delete a file on reboot" dans hijackthis !
j'ai lancé l'anti-virus...
j'ai trouvé ça sur Internet :
KHFDBYW.DLL
AUTOMATED MALWARE PROFILE, ANALYSIS, REMOVAL AND SIGNATURE INFORMATION:
DEFINITION OF: KHFDBYW.DLL
* Safety Rating: Known Spyware, do not run
* Spyware Family: Part of Spyware group - SpywareQuake
* Determination: Automatically determined using Prevx centralized heuristics
* Malware Form: EXPLOIT
* Additional Info: Bogus antispyware application
Apparemment, il bugue les applications antispyware !!! ça doit être pour ça que je n'ai pas accès à "delete a file on reboot" dans hijackthis !
Utilisateur anonyme
25 nov. 2007 à 09:38
25 nov. 2007 à 09:38
Y a t'il une option 'quarantaine' quand le scan se termine ?
Si oui met les en quarantaines.
A+
Si oui met les en quarantaines.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
25 nov. 2007 à 09:42
25 nov. 2007 à 09:42
As tu une idée d'a quel logiciel "winlogon.exe" et rattaché ?
Essaye de trouver.
A+
Essaye de trouver.
A+
winlogon.exe est un processus servant à gérer l'ouverture et la fermeture des sessions. Je ne peux pas le désactiver...
Utilisateur anonyme
25 nov. 2007 à 09:49
25 nov. 2007 à 09:49
Oui en effet.. mais tu n'a pas répondu a ma question ! As tu mis les autres fichiers trouvés en quarantaines ?
a+
a+
Utilisateur anonyme
25 nov. 2007 à 09:59
25 nov. 2007 à 09:59
... ce n'est pas un cheval de troie puisque ad-aware ne cherche que des spywares...
vire le avec ad-aware.
Et t'inquiete pas si c'été un troyen ton anti-virus l'auré trouvé.
A+
vire le avec ad-aware.
Et t'inquiete pas si c'été un troyen ton anti-virus l'auré trouvé.
A+
ad-aware le classe en malware. Il arrive à le mettre en quarantaine mais n'arrive pas à le supprier...
Utilisateur anonyme
25 nov. 2007 à 10:04
25 nov. 2007 à 10:04
Essaye d'ouvrir la liste des objets mis en quarantaines normalement en cliquant sur le malware tu as l'option suprimer en bas a droite.
A+
A+
Utilisateur anonyme
25 nov. 2007 à 10:09
25 nov. 2007 à 10:09
Devellope un peu , comment sa tu peux pas le suprimer , qu'est-ce qui va pas ... etc..
A+
A+
FillPCA
Messages postés
2242
Date d'inscription
samedi 21 avril 2007
Statut
Non membre
Dernière intervention
18 février 2023
123
25 nov. 2007 à 10:11
25 nov. 2007 à 10:11
Bonjour,
Un antivirus ne pourra rien faire. Il faudrait un rapport Hijackthis mais ça ressemble à du Vundo.
FillPCA
Un antivirus ne pourra rien faire. Il faudrait un rapport Hijackthis mais ça ressemble à du Vundo.
FillPCA
je n'arrive pas à supprimer le fichier infecté puisque c'est un .dll
la connexion Internet est plus lente, le démarrage du pc aussi, explorer.exe veut se connecter à internet, un autre service aussi (détectés par Zone Alarm) , je refuse leurs connexions...
la connexion Internet est plus lente, le démarrage du pc aussi, explorer.exe veut se connecter à internet, un autre service aussi (détectés par Zone Alarm) , je refuse leurs connexions...
Voici le rapport Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:41, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://news.google.com/topstories?hl=fr&gl=FR&ceid=FR:fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] "C:\Program Files\Rainlendar2\Rainlendar2.exe"
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYFR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093333169531
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:20:41, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://news.google.com/topstories?hl=fr&gl=FR&ceid=FR:fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] "C:\Program Files\Rainlendar2\Rainlendar2.exe"
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [WMPNSCFG] "C:\Program Files\Windows Media Player\WMPNSCFG.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001YYFR
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093333169531
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www2.photoweb.fr/telechargement/Photoweb_uploader.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
FillPCA
Messages postés
2242
Date d'inscription
samedi 21 avril 2007
Statut
Non membre
Dernière intervention
18 février 2023
123
25 nov. 2007 à 10:34
25 nov. 2007 à 10:34
Re,
* Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
* Une invite te demandera si tu veux supprimer les fichiers, clique YES.
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
FillPCA
* Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
* Une invite te demandera si tu veux supprimer les fichiers, clique YES.
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
FillPCA