Search-daily

Résolu
orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   -  
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Bonjour,
Je suis sous une poste infecté par search-daily, voiçi le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:10:37, on 01/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\SECURITE\a-squared Free\a2service.exe
C:\WINDOWS\system32\dllhost.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
C:\WINDOWS\system32\svchost.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMB32.EXE
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FCH32.EXE
C:\WINDOWS\system32\rundll32.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSM32.EXE
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FAMEH32.EXE
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSGUI\fsguidll.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wscntfy.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsus.exe
D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG04.EXE
D:\OUTILS\acdsee2.41\ACDSee32\ACDSee32.exe
D:\SECURITE\HijackThis\HijackThis.exe

c:\windows\system32\ajjaajj.dll
c:\windows\system32\qjywfcku.dll

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {61039EB5-B0CE-4D79-8E21-7112CCCD943C} - c:\windows\system32\ajjaajj.dll
O2 - BHO: (no name) - {FBB43BE8-D3D1-454B-AAB5-6E09318C80C1} - c:\windows\system32\qjywfcku.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [F-Secure Manager] "D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F31D94B8-2404-45D6-B5EF-20CF20F8EB92}: NameServer = 212.151.137.170 212.151.136.246
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\SECURITE\a-squared Free\a2service.exe
O23 - Service: Diskeeper - Unknown owner - F:\OUTILS\Diskeeper.Pro Premier.10\DkService.exe (file missing)
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

--
End of file - 4409 bytes
Configuration: Windows XP
Internet Explorer 6.0

38 réponses

  • 1
  • 2
Résumé de la discussion

Infection détectée sur une machine avec redirection d'IP et composants malveillants listés dans un rapport HijackThis, dont des BHO et DLL située dans le dossier Windows System32.
Le log répertorie de multiples éléments: services et processus indésirables, des clés de démarrage modifiées et des DLL hostiles comme ajjaajj.dll et qjywfcku.dll, ainsi que des composants F-Secure et des outils tiers.
Plusieurs conseils se concentrent sur l'exécution d'outils de nettoyage, notamment ComboFix et FixWareout, pour supprimer les éléments suspects et rétablir les paramètres, avec redémarrage et vérification d'un nouveau log.
En cas de besoin, des précisions complémentaires sont discutées, comme l'emplacement des fichiers DLL et des chemins, et l'importance de sauvegarder les rapports avant les manipulations.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. leon95 Messages postés 1231 Statut Membre 22
     
    bonjour DEMANDER UN AUTRE AVIS AVANT D EFFECTUER Quoique ce soit
    0
  2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    DEMANDER UN AUTRE AVIS AVANT D EFFECTUER Quoique ce soit entierement d'accord .....

    jessy, ta précision m'en bouche un coin...
    d'apres le rapport tu as 6 virus

    orb , tu as déjà fait tourné vundo ?

    autre chose, clic droit sur l'icone HJT, et renomme le en CCM.exe ( par exemple ) et reposte un log stp !
    0
  3. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    donc voiçi le log hijackthis apres renommage de l'exe:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:15:28, on 01/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    D:\SECURITE\a-squared Free\a2service.exe
    C:\WINDOWS\system32\dllhost.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
    C:\WINDOWS\system32\svchost.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMB32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FCH32.EXE
    C:\WINDOWS\system32\rundll32.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSM32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FAMEH32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSGUI\fsguidll.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
    C:\WINDOWS\system32\wscntfy.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsus.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG04.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Hijackthis\CCM.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {61039EB5-B0CE-4D79-8E21-7112CCCD943C} - c:\windows\system32\ajjaajj.dll
    O2 - BHO: (no name) - {FBB43BE8-D3D1-454B-AAB5-6E09318C80C1} - c:\windows\system32\qjywfcku.dll
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [F-Secure Manager] "D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure internet security\fsps\program\fslsp.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F31D94B8-2404-45D6-B5EF-20CF20F8EB92}: NameServer = 212.151.137.170 212.151.136.246
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\SECURITE\a-squared Free\a2service.exe
    O23 - Service: Diskeeper - Unknown owner - F:\OUTILS\Diskeeper.Pro Premier.10\DkService.exe (file missing)
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
    O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
    0
  4. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    bon, on va commencer par un pré nettoyage de routine..
    Fais un scan avec Avg antispyware et post le rapport ici stp

    · Téléchargement :
    Télécharge la version d'essai d'AVG Anti-Spyware 7.5 depuis
    http://www.grisoft.com/doc/downloads-products/ww/crp/0?prd=triasw
    · Pour Vista
    http://Pour Vistawww.commentcamarche.net/telecharger/telecharger-218-avg-anti-spyware

    Installe la puis...
    *Mise à jour :
    Lancer AVG Anti-Spyware.
    Cliquer sur le menu Mise à jour.
    Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
    Attendre la fin de cette mise à jour
    Ferme AVG Antispyware

    * Reglages :

    Cliquer sur le menu Analyse (de la barre d'outils).
    Cliquer sur l'onglet Paramètres.
    Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine.
    Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
    Vérifier que le bouton-radio Générer un rapport après chaque analyse soit aussi coché.

    * Scan et nettoyage : (a faire en mode sans echec)
    Dans l'onglet Analyse
    Cliquer sur Analyse complète du système.

    Important : Ne pas ouvrir de fenêtre, ne pas lancer de
    programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
    Tres important : A la fin de l'analyse, clique sur " Appliquer toutes les actions"

    Ensuite.

    Cliquer sur "Enregistrer le rapport". Ceci génère un rapport
    en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
    Puis fermer AVG Anti-Spyware..

    * Remarques :
    Au bout des 30 jours d'essai , AVG Anti-Spyware restera utilisable sans limitation de durée, mais avec deux restrictions:
    *- pas de surveillance en temps réel,
    *- pas de mise à jour automatique en ligne.
    Il restera un bon scan passif avec lequel tu pourras effectuer un ptit"nettoyage", sans oublier de faire une mise à jour manuelle avant d'exécuter le balayage.

    merci ^^Mary^^ !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    voilà !

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 20:06:41 01/01/2008

    + Résultat de l'analyse:

    C:\Documents and Settings\***\Cookies\***@www.abcsearch[1].txt ->
    TrackingCookie.Abcsearch : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@ads.adbrite[2].txt ->
    TrackingCookie.Adbrite : Nettoyé.***@stats.adbrite[2].txt ->
    TrackingCookie.Adbrite : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@bluestreak[1].txt ->
    TrackingCookie.Bluestreak : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@cpvfeed[2].txt ->
    TrackingCookie.Cpvfeed : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@enhance[2].txt ->
    TrackingCookie.Enhance : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@image.masterstats[1].txt ->
    TrackingCookie.Masterstats : Nettoyé.
    C:\Documents and Settings\***\Cookies\***d@ie.search.msn[1].txt ->
    TrackingCookie.Msn : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@smartadserver[2].txt ->
    TrackingCookie.Smartadserver : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@weborama[1].txt ->
    TrackingCookie.Weborama : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@m.webtrends[2].txt ->
    TrackingCookie.Webtrends : Nettoyé.
    C:\Documents and Settings\***\Cookies\***@yadro[1].txt ->
    TrackingCookie.Yadro : Nettoyé.
    C:\WINDOWS\system32\qjywfcku.dll -> Trojan.BHO.abo : Nettoyé.
    D:\DOCS\LOGICIELS TELECHARGES\INTERNET\ANTIHIJACK\HijackThis
    1.97\backups\backup-20080101-142822-883.dll -> Trojan.BHO.abo : Nettoyé.
    D:\System Volume
    Information\_restore{05FB79CE-6137-4A3F-A264-8F0BE02165C2}\RP13\A0009239.dll ->
    Trojan.BHO.abo : Nettoyé.
    D:\System Volume
    Information\_restore{05FB79CE-6137-4A3F-A264-8F0BE02165C2}\RP13\A0009240.dll ->
    Trojan.BHO.abo : Nettoyé.
    D:\System Volume
    Information\_restore{05FB79CE-6137-4A3F-A264-8F0BE02165C2}\RP13\A0009241.dll ->
    Trojan.BHO.abo : Nettoyé.
    D:\System Volume
    Information\_restore{05FB79CE-6137-4A3F-A264-8F0BE02165C2}\RP13\A0009242.dll ->
    Trojan.BHO.abo : Nettoyé.
    [1112] c:\windows\system32\qjywfcku.dll -> Trojan.BHO.abo : Nettoyé.

    Fin du rapport
    0
  7. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    c'est bien, avg à bien bossé !
    refait moi un log HJT s'il te plait et poste le ici !

    une question, pourquoi ton antivirus est situé sur D:\ ?
    0
  8. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    et voilà le rapport hijackthis:

    (pourquoi il vaut mieux l'installer sur la partition qui heberge le systeme d'exploitation? en tous cas chez moi les donnees transitent + vite sur D que sur C).

    Logfile of HijackThis v1.99.1
    Scan saved at 21:28:51, on 01/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    D:\SECURITE\a-squared Free\a2service.exe
    D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\dllhost.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
    C:\WINDOWS\system32\svchost.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMB32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FCH32.EXE
    C:\WINDOWS\system32\rundll32.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSM32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FAMEH32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSGUI\fsguidll.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
    C:\WINDOWS\system32\wscntfy.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsus.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG04.EXE
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Hijackthis\CCM.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {61039EB5-B0CE-4D79-8E21-7112CCCD943C} -
    c:\windows\system32\ajjaajj.dll
    O2 - BHO: (no name) - {FBB43BE8-D3D1-454B-AAB5-6E09318C80C1} -
    c:\windows\system32\qjywfcku.dll
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [F-Secure Manager] "D:\SECURITE\F-SECURE IS 2008\F-Secure
    Internet Security\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware
    Terminator\SpywareTerminatorShield.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
    C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) -
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
    Files\Java\jre1.6.0_01\bin\ssv.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
    http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F31D94B8-2404-45D6-B5EF-20CF20F8EB92}:
    NameServer = 212.151.136.246 212.151.137.170
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
    "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH -
    D:\SECURITE\a-squared Free\a2service.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\SECURITE\AVG
    Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Diskeeper - Unknown owner - F:\OUTILS\Diskeeper.Pro
    Premier.10\DkService.exe (file missing)
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure
    Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation -
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure
    Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation -
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
    O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org -
    C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
    0
  9. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    à moins d'habiter en suède, tu est victime de redirection d'IP .

    Je te conseille d'enregistrer la procédure qui suit en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
    Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
    Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

    1) FixWareout de LonnyRJones

    * Télécharge FixWareout de LonnyRJones d'un de ces deux sites sur le bureau:

    http://download.bleepingcomputer.com/lonny/Fixwareout.exe
    http://downloads.subratam.org/Fixwareout.exe

    * Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    * Le fix va commencer, suis les messages à l'écran.
    * Il te sera demandé de redémarrer ton ordinateur, fais le.
    Ton système mettra un peu plus de temps au démarrage, c'est normal.
    * Sauvegarde sur ton Bureau le contenu du rapport qui va s'afficher à l'écran (report.txt) afin de pouvoir le poster ici.

    0
  10. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    voila le rapport FIXWAREOUT:

    Username "***" - 01/01/2008 21:51:23 [Fixwareout edited 9/01/2007]

    ~~~~~ Prerun check

    System was rebooted successfully.

    ~~~~~ Postrun check
    HKLM\SOFTWARE\~\Winlogon\ "System"=""
    ....
    ....
    ~~~~~ Misc files.
    ....
    ~~~~~ Checking for older varients.
    ....

    ~~~~~ Current runs (hklm hkcu "run" Keys Only)
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    "AdslTaskBar"="rundll32.exe stmctrl.dll,TaskBar"
    "F-Secure Manager"="\"D:\\SECURITE\\F-SECURE IS 2008\\F-Secure Internet
    Security\\Common\\FSM32.EXE\" /splash"
    "F-Secure TNB"="\"D:\\SECURITE\\F-SECURE IS 2008\\F-Secure Internet
    Security\\FSGUI\\TNBUtil.exe\" /CHECKALL /WAITFORSW"
    "SpywareTerminator"="\"C:\\Program Files\\Spyware
    Terminator\\SpywareTerminatorShield.exe\""

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    ....
    Hosts file was reset, If you use a custom hosts file please replace it...
    ~~~~~ End report ~~~~~

    ut
    0
  11. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    up?
    0
  12. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    je suis dessus ;o)
    la version HJT que tu as est l'ancienne, refais moi un log avec celle ci stp
    télécharge HIJACKTHIS en cliquant sur ce lien
    http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Enregistre HJTInstall.exe sur ton bureau. Renomme là aussi en CCM...
    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\HijackThis\HijackThis.exe

    Accepte la license en cliquant sur le bouton "I Accept"
    Choisis l'option "Do a system scan and save a log file"
    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum

    Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
    http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

    IMPERATIF !!
    avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!


    0
  13. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    i y à aussi du vundo là dessous,
    O2 - BHO: (no name) - {61039EB5-B0CE-4D79-8E21-7112CCCD943C} -
    c:\windows\system32\ajjaajj.dll
    O2 - BHO: (no name) - {FBB43BE8-D3D1-454B-AAB5-6E09318C80C1} -
    c:\windows\system32\qjywfcku.dll


    on verra par la suite...
    0
  14. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    Logfile of HijackThis v1.99.1
    Scan saved at 23:05:48, on 02/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    D:\SECURITE\a-squared Free\a2service.exe
    D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\dllhost.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
    C:\WINDOWS\system32\svchost.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMB32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FCH32.EXE
    C:\WINDOWS\system32\rundll32.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSM32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FAMEH32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSGUI\fsguidll.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG04.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsus.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
    C:\Program Files\Hijackthis\CCM.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {61039EB5-B0CE-4D79-8E21-7112CCCD943C} -
    c:\windows\system32\ajjaajj.dll
    O2 - BHO: (no name) - {FBB43BE8-D3D1-454B-AAB5-6E09318C80C1} -
    c:\windows\system32\qjywfcku.dll
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [F-Secure Manager] "D:\SECURITE\F-SECURE IS 2008\F-Secure
    Internet Security\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware
    Terminator\SpywareTerminatorShield.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
    C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) -
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
    Files\Java\jre1.6.0_01\bin\ssv.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O10 - Unknown file in Winsock LSP: d:\securite\f-secure is 2008\f-secure
    internet security\fsps\program\fslsp.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
    http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
    "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH -
    D:\SECURITE\a-squared Free\a2service.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\SECURITE\AVG
    Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Diskeeper - Unknown owner - F:\OUTILS\Diskeeper.Pro
    Premier.10\DkService.exe (file missing)
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure
    Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation -
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure
    Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation -
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
    O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org -
    C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
    0
  15. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    je vois que tu as Vundofix sur le pc, C:\WINDOWS\SYSTEM32\VundoFixSVC.exe
    * Double-clique sur VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

    --> Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    0
  16. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    il ne trouve pas de fichier vundo. Quels sont les fichiers du log hijackthis a inserer dans vundofix?

    j'aimerais surtout traiter ceci:
    O2 - BHO: (no name) - {61039EB5-B0CE-4D79-8E21-7112CCCD943C} -
    c:\windows\system32\ajjaajj.dll
    O2 - BHO: (no name) - {FBB43BE8-D3D1-454B-AAB5-6E09318C80C1} -
    c:\windows\system32\qjywfcku.dll

    j'avais dejà insere ces fichiers manuellement dans vundofix mais il ne pouvait pas les supprimer
    0
  17. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Quels sont les fichiers du log hijackthis a inserer dans vundofix?

    il n'y à pas encore de fichiers trouvés, il faut d'abord scanner . je te donne le lien

    Télécharge VundoFix.exe par Atribune http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau.

    * Double-clique sur VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

    --> Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    0
  18. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    merçi je fais ça des demain. c'est pas sur mon pc. @+
    0
  19. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    oki, je serais là dans l'après midi !

    @+
    0
  20. orb42 Messages postés 1515 Date d'inscription   Statut Membre Dernière intervention   205
     
    bonjour,

    VOILA les logs:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:29:08, on 03/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    D:\SECURITE\a-squared Free\a2service.exe
    D:\SECURITE\AVG Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\dllhost.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
    C:\WINDOWS\system32\svchost.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMB32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FCH32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FAMEH32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsqh.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FWES\Program\fsdfwd.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fssm32.exe
    C:\WINDOWS\system32\wscntfy.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsus.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Anti-Virus\fsav32.exe
    C:\WINDOWS\system32\rundll32.exe
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSM32.EXE
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSGUI\fsguidll.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {61039EB5-B0CE-4D79-8E21-7112CCCD943C} -
    c:\windows\system32\ajjaajj.dll
    O2 - BHO: (no name) - {FBB43BE8-D3D1-454B-AAB5-6E09318C80C1} -
    c:\windows\system32\qjywfcku.dll
    O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
    O4 - HKLM\..\Run: [F-Secure Manager] "D:\SECURITE\F-SECURE IS 2008\F-Secure
    Internet Security\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware
    Terminator\SpywareTerminatorShield.exe"
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
    C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) -
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
    Files\Java\jre1.6.0_01\bin\ssv.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
    http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F31D94B8-2404-45D6-B5EF-20CF20F8EB92}:
    NameServer = 212.151.137.170 212.151.136.246
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH -
    D:\SECURITE\a-squared Free\a2service.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\SECURITE\AVG
    Anti-Spyware 7.5.1.43\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Diskeeper - Unknown owner - F:\OUTILS\Diskeeper.Pro
    Premier.10\DkService.exe (file missing)
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure
    Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation -
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\FSAUA\program\fsaua.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure
    Corporation - D:\SECURITE\F-SECURE IS 2008\F-Secure Internet
    Security\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation -
    D:\SECURITE\F-SECURE IS 2008\F-Secure Internet Security\Common\FSMA32.EXE
    
    --
    End of file - 4576 bytes


    VundoFix V6.3.23

    Checking Java version...

    Scan started at 20:53:36 03/01/2008

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...

    VundoFix V6.3.23

    Checking Java version...

    Scan started at 21:08:32 03/01/2008

    Listing files found while scanning....

    Beginning removal...

    Attempting to delete c:\windows\system32\ajjaajj.dll
    c:\windows\system32\ajjaajj.dll Could not be deleted.

    Attempting to delete c:\windows\system32\qjywfcku.dll
    c:\windows\system32\qjywfcku.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!
    0
  21. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    c:\windows\system32\ajjaajj.dll Could not be deleted.

    c:\windows\system32\qjywfcku.dll Could not be deleted.


    vundofix n'en vien pas à bout...
    Télécharge VirtumundoBegone sur ton bureau:
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    Double clique ensuite sur VirtumundoBegone.exe et suis les instructions.
    Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
    Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

    0
  • 1
  • 2