Infecté par virtumonde et astakiller, aidesvp

Résolu/Fermé
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008 - 19 janv. 2008 à 17:49
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 - 24 avril 2008 à 20:15
Bonjour,
Je suis infecté par virtumonde et astakiller, spybots, adaware, fixvundo, rien n'y fait pour l'eradiquer !!
Je vous demande l'aide afin d'eliminer ce trojan, merci de votre part !!
Configuration
Portable PB easynote alpha 5100 combo
XP pro
256 M RAM
4 Mo video
Internet explorer 7
J'ai contracté ce trojan lors de la mise à jour de ce portable en passant de IE6 à IE7 et en passant à SP2
je sais c'est pas une foudre de guerre mais pour internet ça suffit bien !!
Merci de votre aide j'attend vos reponses

44 réponses

jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
19 janv. 2008 à 18:03
ok, essayons de voir ça !

IMPORTANT :
Ne pas désactiver la restauration système, tant que le pc n'est pas propre.

télécharge HIJACKTHIS en cliquant sur ce lien
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\HijackThis\HijackThis.exe

Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-not
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

IMPERATIF !!
avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !!


Ensuite :

Télécharge VundoFix.exe par Atribune http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau.

° Double-clique sur VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est terminé, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
Il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Télécharge virtumondebegone (Poste le rapport)
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse


to be continued.......
0
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
19 janv. 2008 à 21:58
Bonsoir, tout d'abord merci pour ton aide.
je poste les rapports comme demandé je précise que j'avais deja fait un fixvundo et que des fichiers ont ete enlevé, mais que j'ai toujours un affichage de pub intempestives !

Rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:07, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C05E1F4F-3B5F-4FC3-9A03-2617DE3B3642}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
19 janv. 2008 à 22:02
Vundo a bien bossé, le temps que je décortique le log HJT, tu peux me dire quel type de fenetre ce sont ?

pour des antispywares,antivirus, casino ?
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
19 janv. 2008 à 22:09
Fais un clic droit sur hijackthis,
choisis "renommer" marque (tu écris) : ccm.exe
Puis remet un rapport stp

Pourquoi renommer Hijackthis ?
Parce que qu'il semble que les infections Vundo aient la particularité de se "cacher" à la
détection de HJT proprement dite ou à son analyse .
la modification du nom de l'exe pallie ce problème...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
19 janv. 2008 à 23:45
Rebonsoir,
Alors j'ai des fenetres d'antispywares et de casino aussi les deux ça depend des moments mais bcp d'antispywares avec des petites fenetres qui s'ouvrent en disant que le pc est infecté ou lent
Voici le nouveau rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:47, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\ccm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3918420B-06B5-4C3A-868C-690048415D74} - C:\WINDOWS\System32\hgggh.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: {83e2eb36-8ce0-bebb-a8b4-efca63305277} - {77250336-acfe-4b8a-bbeb-0ec863be2e38} - C:\WINDOWS\system32\drweexwu.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [e43e27b6] rundll32.exe "C:\WINDOWS\system32\hiknwjwa.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C05E1F4F-3B5F-4FC3-9A03-2617DE3B3642}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
19 janv. 2008 à 23:52
Demain je travaille, je ne pourrai pas faire la suite des manip mais je serai la demain soir pour essayer d'enlever ce trojan
merci de ton aide


ok, je regarde en détail, je te laisserai la suite, dès que tu le voudras, en postant ici, j'en serais averti !

Bon courage pour demain..
Bonne soirée.
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
20 janv. 2008 à 01:27
peut tu me faire ceci STP ?

1) Ouvrir l'explorateur windows
Démarrer > programmes > Accessoires > Explorateur windows

Clique sur outils > options des dossiers > affichage.
Sélectionne :
° afficher les fichiers et dossiers cachés,
° décocher "masquer les extensions des fichiers dont le type est connu",
° décocher masquer les fichiers protégés du système d'exploitation (recommandé)".
° " Appliquer " et " Ok"

2) Peux-tu tester ceci :
Clique sur ce lien : http://www.virustotal.com/en/indexf.html

C:\WINDOWS\System32\hgggh.dll
C:\WINDOWS\System32\hgggh.dll


Clique sur parcourir et indique le chemin des fichiers que j’ai désigné.
Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.


à suivre.......
0
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
20 janv. 2008 à 21:22
bonsoir, voici le rapport de total virus demandé : tu m'as donné deux fois le meme fichier dans ton precedent message
Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.19.10 2008.01.18 Win-AppCare/Virtumonde.314624
AntiVir 7.6.0.48 2008.01.20 TR/Vundo.DVE
Authentium 4.93.8 2008.01.20 -
Avast 4.7.1098.0 2008.01.20 -
AVG 7.5.0.516 2008.01.20 Generic9.AGXU
BitDefender 7.2 2008.01.20 Trojan.Vundo.DVE
CAT-QuickHeal 9.00 2008.01.19 AdWare.Virtumonde.bko (Not a Virus)
ClamAV 0.91.2 2008.01.20 -
DrWeb 4.44.0.09170 2008.01.20 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5470 2008.01.18 Win32/Chisyne.DJ
Ewido 4.0 2008.01.20 -
FileAdvisor 1 2008.01.20 -
Fortinet 3.14.0.0 2008.01.20 -
F-Prot 4.4.2.54 2008.01.19 -
F-Secure 6.70.13260.0 2008.01.20 -
Ikarus T3.1.1.20 2008.01.20 not-a-virus:AdWare.Win32.Virtumonde.bxc
Kaspersky 7.0.0.125 2008.01.20 not-a-virus:AdWare.Win32.Virtumonde.bxc
McAfee 5211 2008.01.18 -
Microsoft 1.3109 2008.01.20 -
NOD32v2 2808 2008.01.20 -
Norman 5.80.02 2008.01.20 W32/Virtumonde.JGD
Panda 9.0.0.4 2008.01.20 Spyware/Virtumonde
Prevx1 V2 2008.01.20 Trojan.Vundo
Rising 20.27.62.00 2008.01.20 -
Sophos 4.24.0 2008.01.20 -
Sunbelt 2.2.907.0 2008.01.17 VIPRE.Suspicious
Symantec 10 2008.01.20 Trojan.Vundo
TheHacker 6.2.9.191 2008.01.19 Adware/Virtumonde.bnu
VBA32 3.12.2.5 2008.01.19 -
VirusBuster 4.3.26:9 2008.01.20 AdWare.Virtumonde.CL
Webwasher-Gateway 6.6.2 2008.01.20 Trojan.Vundo.DVE
Information additionnelle
File size: 314624 bytes
MD5: ad8d4d9211e44b0a3282cb2f82425161
SHA1: 8b0d8465977bd6dd34c80432f5de165d53bc7e2d
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=79A90A120087DDC3CDA604DEB8B2F500A7D4D489
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
20 janv. 2008 à 21:44
je me suis trompé, scuze moi

je voulais faire analyser ceux ci aussi :

C:\WINDOWS\system32\drweexwu.dll
C:\WINDOWS\system32\hiknwjwa.dll",b
peux tu le faire stp ?

apparament, il y a encore du Vundo, je regarde la suite...
0
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
20 janv. 2008 à 22:13
analyse de drweexwu.dll :
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.19.10 2008.01.18 -
AntiVir 7.6.0.48 2008.01.20 TR/Vundo.Gen
Authentium 4.93.8 2008.01.20 -
Avast 4.7.1098.0 2008.01.20 -
AVG 7.5.0.516 2008.01.20 Lop
BitDefender 7.2 2008.01.20 Trojan.Vundo.DVC
CAT-QuickHeal 9.00 2008.01.19 -
ClamAV 0.91.2 2008.01.20 -
DrWeb 4.44.0.09170 2008.01.20 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5470 2008.01.18 -
Ewido 4.0 2008.01.20 -
FileAdvisor 1 2008.01.20 -
Fortinet 3.14.0.0 2008.01.20 -
F-Prot 4.4.2.54 2008.01.19 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.01.20 -
Ikarus T3.1.1.20 2008.01.20 -
Kaspersky 7.0.0.125 2008.01.20 -
McAfee 5211 2008.01.18 -
Microsoft 1.3109 2008.01.20 Trojan:Win32/Vundo.gen!A
NOD32v2 2808 2008.01.20 -
Norman 5.80.02 2008.01.20 -
Panda 9.0.0.4 2008.01.20 Suspicious file
Rising 20.27.62.00 2008.01.20 -
Sophos 4.24.0 2008.01.20 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.20 Trojan.Vundo
TheHacker 6.2.9.191 2008.01.19 -
VBA32 3.12.2.5 2008.01.19 -
VirusBuster 4.3.26:9 2008.01.20 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.20 Trojan.Vundo.Gen
Information additionnelle
File size: 78400 bytes
MD5: a9f75c39fa9c2e9c7d7e38109544a2cb
SHA1: 13491451cb6153ec12a43091923ef42a45877f91
PEiD: -


analyse de hiknwjwa.dll :
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.19.10 2008.01.18 -
AntiVir 7.6.0.48 2008.01.20 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2008.01.20 -
Avast 4.7.1098.0 2008.01.20 -
AVG 7.5.0.516 2008.01.20 Lop
BitDefender 7.2 2008.01.20 Trojan.Vundo.DWP
CAT-QuickHeal 9.00 2008.01.19 -
ClamAV 0.91.2 2008.01.20 -
DrWeb 4.44.0.09170 2008.01.20 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5470 2008.01.18 -
Ewido 4.0 2008.01.20 -
FileAdvisor 1 2008.01.20 -
Fortinet 3.14.0.0 2008.01.20 -
F-Prot 4.4.2.54 2008.01.19 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.01.20 -
Ikarus T3.1.1.20 2008.01.20 -
Kaspersky 7.0.0.125 2008.01.20 -
McAfee 5211 2008.01.18 -
Microsoft 1.3109 2008.01.20 Trojan:Win32/Vundo.gen!A
NOD32v2 2808 2008.01.20 -
Norman 5.80.02 2008.01.20 -
Panda 9.0.0.4 2008.01.20 Suspicious file
Prevx1 V2 2008.01.20 Trojan.Vundo
Rising 20.27.62.00 2008.01.20 -
Sophos 4.24.0 2008.01.20 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.20 -
TheHacker 6.2.9.191 2008.01.19 -
VBA32 3.12.2.5 2008.01.19 -
VirusBuster 4.3.26:9 2008.01.20 Adware.Vundo.V.Gen
Webwasher-Gateway 6.6.2 2008.01.20 Trojan.Dldr.ConHook.Gen
Information additionnelle
File size: 87104 bytes
MD5: 5702ee52d95eccab67a8248f3761b42a
SHA1: 48ca60c75ab16e78787b11d8a46d7888296b6683
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=25C77CE140E2341454B80185A3764A00B178E923

merci pour l'analyse
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
20 janv. 2008 à 22:22
il y a bien du vundo qui traine encore !

° Double-clique sur VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est terminé, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
Il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
0
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
21 janv. 2008 à 10:13
Bonjour, voici le nouveau rapport fixvundo et hijackthis :


VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.7
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 08:54:45 21/01/2008

Listing files found while scanning....

C:\WINDOWS\system32\awjwnkih.ini
C:\WINDOWS\system32\drweexwu.dll
C:\WINDOWS\system32\hiknwjwa.dll
C:\WINDOWS\system32\hsmgbmqi.dll
C:\WINDOWS\system32\llpageli.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awjwnkih.ini
C:\WINDOWS\system32\awjwnkih.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\drweexwu.dll
C:\WINDOWS\system32\drweexwu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\hiknwjwa.dll
C:\WINDOWS\system32\hiknwjwa.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\hsmgbmqi.dll
C:\WINDOWS\system32\hsmgbmqi.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\llpageli.dll
C:\WINDOWS\system32\llpageli.dll Has been deleted!

Performing Repairs to the registry.
Done!


Rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:02:01, on 21/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\ccm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {932206ad-9ad3-cfb9-2814-d36eddb1b272} - {272b1bdd-e63d-4182-9bfc-3da9da602239} - C:\WINDOWS\system32\llpageli.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {80A4B0B7-CDF9-4D21-AAD0-81F9EAD63923} - C:\WINDOWS\System32\hgggh.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [e43e27b6] rundll32.exe "C:\WINDOWS\system32\hsmgbmqi.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C05E1F4F-3B5F-4FC3-9A03-2617DE3B3642}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
21 janv. 2008 à 11:41
ce coup ci, ça devrait etre bon !
Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
(Note: tu n'auras pas accès à Internet à partir du moment ou te redémarreras en mode sans échec)
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
--------------------------------------------------------------------------------------
Relance Hijackthis en double cliquant sur son raccourci sur le Bureau.

Clique sur Scan Only et coche les lignes suivantes :

O2 - BHO: {932206ad-9ad3-cfb9-2814-d36eddb1b272} - {272b1bdd-e63d-4182-9bfc-3da9da602239} - C:\WINDOWS\system32\llpageli.dll (file missing)
O2 - BHO: (no name) - {80A4B0B7-CDF9-4D21-AAD0-81F9EAD63923} - C:\WINDOWS\System32\hgggh.dll
O4 - HKLM\..\Run: [e43e27b6] rundll32.exe "C:\WINDOWS\system32\hsmgbmqi.dll",b


Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
comment fixer :
Tutoriel d´utilisation (video) :
http://pageperso.aol.fr/balltrap34/demohijack.htm
---------------------------------------------------------------------------------
Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-click sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\WINDOWS\System32\hgggh.dll
C:\WINDOWS\system32\hsmgbmqi.dll",b


Click sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
click sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Ps : il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

poste le rapport de OTMoveIt ainsi qu´un nouveau hijack this stp
0
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
21 janv. 2008 à 14:38
Re, donc voilà j'ai fait la procedure comme demandé ci dessus mais il y avait qq differences !
1- je n'avais pas la deuxieme ligne commençant par 02 sous hijackthis par contre une ligne ressemblant avec le meme fichiers de fin:
O2 - BHO: (no name) - {757A2BED-8ECC-4D68-85BC-D4F6CBDFF993} - C:\WINDOWS\System32\hgggh.dll
apparemment la ligne change à chaque demarage

2- tu me parles de redemarrage en mode sans echec mais dans la procedure il n'y en a pas
sinon je te poste les rapports demandé
hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35:28, on 21/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\ccm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {757A2BED-8ECC-4D68-85BC-D4F6CBDFF993} - C:\WINDOWS\System32\hgggh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C05E1F4F-3B5F-4FC3-9A03-2617DE3B3642}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
21 janv. 2008 à 14:49
je n'avais pas la deuxieme ligne commençant par 02 sous hijackthis par contre une ligne ressemblant avec le meme fichiers de fin:
O2 - BHO: (no name) - {757A2BED-8ECC-4D68-85BC-D4F6CBDFF993} - C:\WINDOWS\System32\hgggh.dll
apparemment la ligne change à chaque demarage


Pourtant, elle y etait bien POST #12
O2 - BHO: (no name) - {80A4B0B7-CDF9-4D21-AAD0-81F9EAD63923} - C:\WINDOWS\System32\hgggh.dll

bon, on, on change de tactique :
Télécharge ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp


0
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
21 janv. 2008 à 15:25
Re voici le rapport combofix :
ComboFix 08-01-20.1 - rougep 2008-01-21 15:09:25.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.140 [GMT 1:00]
Running from: C:\Documents and Settings\rougep\Bureau\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\cjfhxjtp.dll
C:\WINDOWS\system32\hgggh.ini
C:\WINDOWS\system32\hgggh.ini2
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-21 to 2008-01-21 ))))))))))))))))))))))))))))))))))))
.

2008-01-21 15:04 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-20 22:01 . 2008-01-21 08:52 1,073,352 ---hs---- C:\WINDOWS\system32\iqmbgmsh.ini
2008-01-18 21:36 . 2008-01-19 09:22 <REP> d-------- C:\VundoFix Backups
2008-01-18 21:17 . 2008-01-18 21:20 <REP> d-------- C:\securit‚
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-16 21:04 . 2005-12-04 19:26 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-01-16 21:04 . 2005-11-03 19:17 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-01-16 21:01 . 2008-01-16 21:01 173,704 --a------ C:\FxVundoB.exe
2008-01-16 20:44 . 2008-01-16 20:45 1,057,405 ---hs---- C:\WINDOWS\system32\mygfuybx.ini
2008-01-16 20:44 . 2008-01-16 20:44 1,057,345 ---hs---- C:\WINDOWS\system32\ygyllejn.tmp
2008-01-15 20:11 . 2008-01-15 20:11 <REP> d-------- C:\Program Files\Trend Micro
2008-01-15 17:41 . 2008-01-15 18:58 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-01-15 13:30 . 2008-01-16 20:41 1,057,345 ---hs---- C:\WINDOWS\system32\ygyllejn.ini
2008-01-15 09:36 . 2008-01-15 09:37 <REP> d-------- C:\Program Files\SpywareBlaster
2008-01-14 21:14 . 2008-01-14 21:14 <REP> d-------- C:\WINDOWS\report
2008-01-14 21:13 . 2008-01-14 21:13 <REP> d-------- C:\WINDOWS\AU_Temp
2008-01-14 21:13 . 2008-01-14 19:28 35,016,489 --a------ C:\WINDOWS\LPT$VPN.943
2008-01-14 19:29 . 2008-01-14 21:13 <REP> d-------- C:\WINDOWS\AU_Backup
2008-01-14 19:28 . 2008-01-14 19:28 35,016,489 --a------ C:\WINDOWS\VPTNFILE.943
2008-01-14 19:28 . 2008-01-14 19:28 1,909,671 --a------ C:\WINDOWS\tsc.ptn
2008-01-14 19:28 . 2008-01-14 21:13 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2008-01-14 19:28 . 2008-01-14 19:28 267,845 --a------ C:\WINDOWS\tsc.exe
2008-01-14 19:28 . 2008-01-14 21:13 86,094 --a------ C:\WINDOWS\BPMNT.dll
2008-01-14 19:28 . 2008-01-14 19:28 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-01-14 19:28 . 2008-01-14 21:59 823 --a------ C:\WINDOWS\tsc.ini
2008-01-14 19:26 . 2008-01-14 19:26 <REP> d-------- C:\WINDOWS\AU_Log
2008-01-14 19:26 . 2008-01-14 21:13 170 --a------ C:\WINDOWS\GetServer.ini
2008-01-14 19:25 . 2008-01-14 19:26 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-01-14 19:25 . 2008-01-14 19:25 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-01-14 19:25 . 2008-01-14 19:25 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-01-13 19:32 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-13 19:32 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-13 19:32 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-13 19:32 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-13 19:32 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-13 19:32 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-13 19:32 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-13 19:32 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-13 19:32 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-13 19:31 . 2008-01-13 19:31 759 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-01-13 19:28 . 2008-01-13 19:34 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-01-13 19:19 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-01-13 18:55 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-01-13 18:55 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-01-13 18:54 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-01-13 18:32 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-01-13 17:58 . 2008-01-13 20:02 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-01-13 17:07 . 2008-01-13 17:07 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2008-01-13 16:51 . 2004-08-20 00:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-01-13 16:46 . 2008-01-13 16:46 <REP> d-------- C:\WINDOWS\peernet
2008-01-13 16:45 . 2008-01-13 16:45 <REP> d-------- C:\WINDOWS\provisioning
2008-01-13 16:38 . 2008-01-13 16:38 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-01-13 16:25 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-01-13 16:16 . 2008-01-13 16:47 <REP> d-------- C:\WINDOWS\EHome
2008-01-13 15:12 . 2008-01-13 17:25 1,060,562 ---hs---- C:\WINDOWS\system32\mcxwayub.ini
2008-01-08 15:37 . 2004-08-20 00:09 83,968 --a------ C:\WINDOWS\system32\cnbjmon2.dll
2008-01-08 15:37 . 2001-08-23 15:46 58,276 --a------ C:\WINDOWS\system32\CNBJHLP2.HLP
2008-01-08 15:37 . 2001-08-23 15:46 1,312 --a------ C:\WINDOWS\system32\CNBJHLP2.CNT
2008-01-08 10:59 . 2008-01-08 10:59 <REP> d-------- C:\Program Files\Inventel
2008-01-08 10:00 . 2008-01-08 10:59 <REP> d-------- C:\Program Files\Inventel(2)
2007-12-24 17:21 . 2007-12-24 17:21 27,264 --a------ C:\WINDOWS\system32\rxikljoq.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-21 10:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-20 22:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-13 18:53 --------- d-----w C:\Program Files\MSN Messenger
2008-01-07 17:50 --------- d-----w C:\Documents and Settings\rougep\Application Data\Azureus
2007-12-24 16:36 --------- d-----w C:\Program Files\Azureus
2007-12-17 19:00 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-11-26 19:41 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-02-27 18:42 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-05-11 18:03 560 ----a-w C:\Program Files\Global.sw
2005-09-29 09:51 976,020 ----a-w C:\Program Files\BDAXP.cab
2005-09-29 09:51 916,815 ----a-w C:\Program Files\Oct2005_MDX_x86.cab
2005-09-29 09:51 86,784 ----a-w C:\Program Files\Oct2005_xinput_x64.cab
2005-09-29 09:51 74,430 ----a-w C:\Program Files\dxupdate.cab
2005-09-29 09:51 703,080 ----a-w C:\Program Files\BDA.cab
2005-09-29 09:51 46,085 ----a-w C:\Program Files\Oct2005_xinput_x86.cab
2005-09-29 09:51 41,888 ----a-w C:\Program Files\dxdllreg_x86.cab
2005-09-29 09:51 15,493,481 ----a-w C:\Program Files\DirectX.cab
2005-09-29 09:51 13,265,040 ----a-w C:\Program Files\dxnt.cab
2005-09-29 09:51 1,351,430 ----a-w C:\Program Files\Aug2005_d3dx9_27_x64.cab
2005-09-29 09:51 1,156,363 ----a-w C:\Program Files\BDANT.cab
2005-09-29 09:51 1,078,532 ----a-w C:\Program Files\Aug2005_d3dx9_27_x86.cab
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7291F436-FE81-482F-85D5-7A5FE5F2E681}]
2007-12-17 20:13 314624 --a------ C:\WINDOWS\System32\hgggh.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-03 22:17 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-02-27 20:48 917504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\hgggh.dll

R3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-06-20 10:12]

*Newly Created Service* - HTTPFILTER
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-21 15:18:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\hgggh.ini 494 bytes
C:\WINDOWS\system32\hgggh.ini2 494 bytes

scan completed successfully
hidden files: 2

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\System32\hgggh.dll
-> C:\Program Files\Eset\pr_imon.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\System32\hgggh.dll
.
Completion time: 2008-01-21 15:21:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-21 14:20:58
.
2008-01-13 14:33:39 --- E O F ---
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
21 janv. 2008 à 23:02
re !
désolé pour le retard . étape 2 ( merci Bernard )
Script Combofix

- Ouvre le bloc-note ( clic droitsur le bureau, nouveau, document texte ) et copie-colle les lignes ci-dessous en gras:

File::
C:\WINDOWS\system32\mygfuybx.ini
C:\WINDOWS\system32\ygyllejn.tmp
C:\WINDOWS\system32\ygyllejn.ini
C:\WINDOWS\system32\mcxwayub.ini
C:\WINDOWS\system32\rxikljoq.exe
C:\WINDOWS\system32\hgggh.ini
C:\WINDOWS\system32\hgggh.ini2
C:\WINDOWS\System32\hgggh.dll

Registry::
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7291F436-FE81-482F-85D5-7A5FE5F2E681}]
"C:\WINDOWS\System32\hgggh.dll"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\msv1_0]
"C:\WINDOWS\System32\hgggh.dll"=-


- Enregistre-le sous CFScript.txt, sur le bureau
- Comme sur l'image présentée ici, fais glisser CFScript.txt dans Combofix.exe
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
- Supprime le fichier C:\Combofix.txt et relance Combofix.
- Poste le nouveau Combofix.txt et un nouveau rapport HijackThis.
- Donne des infos sur l'évolution de tes problèmes.

@ plus
0
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
22 janv. 2008 à 18:25
Bonsoir donc voilà apres le premier scan combofix, le pc etait plus rapide, et plus de fenetres intempstives, mais apres un moment d'utilisation, ça a recomméncé, apres ce nouveau scan de combofix, le pc est de nouveau plus rapide sans fenetres à voir par la suite donc
voici le nouveau rapport combofix:
ComboFix 08-01-20.1 - rougep 2008-01-22 18:03:43.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.139 [GMT 1:00]
Running from: C:\Documents and Settings\rougep\Bureau\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\hgggh.ini
C:\WINDOWS\system32\hgggh.ini2
C:\WINDOWS\system32\iqmbgmsh.ini
C:\WINDOWS\system32\mcxwayub.ini
C:\WINDOWS\system32\mygfuybx.ini
C:\WINDOWS\system32\swbprngn.dll
C:\WINDOWS\system32\uonmvfwr.dll
C:\WINDOWS\system32\ygyllejn.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-22 to 2008-01-22 ))))))))))))))))))))))))))))))))))))
.

2008-01-21 15:04 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-18 21:36 . 2008-01-19 09:22 <REP> d-------- C:\VundoFix Backups
2008-01-18 21:17 . 2008-01-18 21:20 <REP> d-------- C:\securit‚
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-16 21:04 . 2005-12-04 19:26 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-01-16 21:04 . 2005-11-03 19:17 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-01-16 21:04 . 2005-11-03 19:17 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-01-16 21:01 . 2008-01-16 21:01 173,704 --a------ C:\FxVundoB.exe
2008-01-16 20:44 . 2008-01-16 20:44 1,057,345 ---hs---- C:\WINDOWS\system32\ygyllejn.tmp
2008-01-15 20:11 . 2008-01-15 20:11 <REP> d-------- C:\Program Files\Trend Micro
2008-01-15 17:41 . 2008-01-15 18:58 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-01-15 09:36 . 2008-01-15 09:37 <REP> d-------- C:\Program Files\SpywareBlaster
2008-01-14 21:14 . 2008-01-14 21:14 <REP> d-------- C:\WINDOWS\report
2008-01-14 21:13 . 2008-01-14 21:13 <REP> d-------- C:\WINDOWS\AU_Temp
2008-01-14 21:13 . 2008-01-14 19:28 35,016,489 --a------ C:\WINDOWS\LPT$VPN.943
2008-01-14 19:29 . 2008-01-14 21:13 <REP> d-------- C:\WINDOWS\AU_Backup
2008-01-14 19:28 . 2008-01-14 19:28 35,016,489 --a------ C:\WINDOWS\VPTNFILE.943
2008-01-14 19:28 . 2008-01-14 19:28 1,909,671 --a------ C:\WINDOWS\tsc.ptn
2008-01-14 19:28 . 2008-01-14 21:13 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2008-01-14 19:28 . 2008-01-14 19:28 267,845 --a------ C:\WINDOWS\tsc.exe
2008-01-14 19:28 . 2008-01-14 21:13 86,094 --a------ C:\WINDOWS\BPMNT.dll
2008-01-14 19:28 . 2008-01-14 19:28 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-01-14 19:28 . 2008-01-14 21:59 823 --a------ C:\WINDOWS\tsc.ini
2008-01-14 19:26 . 2008-01-14 19:26 <REP> d-------- C:\WINDOWS\AU_Log
2008-01-14 19:26 . 2008-01-14 21:13 170 --a------ C:\WINDOWS\GetServer.ini
2008-01-14 19:25 . 2008-01-14 19:26 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-01-14 19:25 . 2008-01-14 19:25 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-01-14 19:25 . 2008-01-14 19:25 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-01-13 19:32 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-13 19:32 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-13 19:32 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-13 19:32 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-13 19:32 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-13 19:32 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-13 19:32 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-13 19:32 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-13 19:32 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-13 19:31 . 2008-01-13 19:31 759 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-01-13 19:28 . 2008-01-13 19:34 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-01-13 19:19 . 2007-08-13 18:54 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-01-13 18:55 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-01-13 18:55 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-01-13 18:54 . 2006-08-21 10:14 128,896 -----c--- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-01-13 18:32 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-01-13 17:58 . 2008-01-13 20:02 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-01-13 17:07 . 2008-01-13 17:07 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2008-01-13 16:51 . 2004-08-20 00:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-01-13 16:46 . 2008-01-13 16:46 <REP> d-------- C:\WINDOWS\peernet
2008-01-13 16:45 . 2008-01-13 16:45 <REP> d-------- C:\WINDOWS\provisioning
2008-01-13 16:38 . 2008-01-13 16:38 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-01-13 16:25 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-01-13 16:16 . 2008-01-13 16:47 <REP> d-------- C:\WINDOWS\EHome
2008-01-08 15:37 . 2004-08-20 00:09 83,968 --a------ C:\WINDOWS\system32\cnbjmon2.dll
2008-01-08 15:37 . 2001-08-23 15:46 58,276 --a------ C:\WINDOWS\system32\CNBJHLP2.HLP
2008-01-08 15:37 . 2001-08-23 15:46 1,312 --a------ C:\WINDOWS\system32\CNBJHLP2.CNT
2008-01-08 10:59 . 2008-01-08 10:59 <REP> d-------- C:\Program Files\Inventel
2008-01-08 10:00 . 2008-01-08 10:59 <REP> d-------- C:\Program Files\Inventel(2)
2007-12-24 17:21 . 2007-12-24 17:21 27,264 --a------ C:\WINDOWS\system32\rxikljoq.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-22 16:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-21 19:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-13 18:53 --------- d-----w C:\Program Files\MSN Messenger
2008-01-07 17:50 --------- d-----w C:\Documents and Settings\rougep\Application Data\Azureus
2007-12-24 16:36 --------- d-----w C:\Program Files\Azureus
2007-12-17 19:00 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-11-26 19:41 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-02-27 18:42 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-05-11 18:03 560 ----a-w C:\Program Files\Global.sw
2005-09-29 09:51 976,020 ----a-w C:\Program Files\BDAXP.cab
2005-09-29 09:51 916,815 ----a-w C:\Program Files\Oct2005_MDX_x86.cab
2005-09-29 09:51 86,784 ----a-w C:\Program Files\Oct2005_xinput_x64.cab
2005-09-29 09:51 74,430 ----a-w C:\Program Files\dxupdate.cab
2005-09-29 09:51 703,080 ----a-w C:\Program Files\BDA.cab
2005-09-29 09:51 46,085 ----a-w C:\Program Files\Oct2005_xinput_x86.cab
2005-09-29 09:51 41,888 ----a-w C:\Program Files\dxdllreg_x86.cab
2005-09-29 09:51 15,493,481 ----a-w C:\Program Files\DirectX.cab
2005-09-29 09:51 13,265,040 ----a-w C:\Program Files\dxnt.cab
2005-09-29 09:51 1,351,430 ----a-w C:\Program Files\Aug2005_d3dx9_27_x64.cab
2005-09-29 09:51 1,156,363 ----a-w C:\Program Files\BDANT.cab
2005-09-29 09:51 1,078,532 ----a-w C:\Program Files\Aug2005_d3dx9_27_x86.cab
.

((((((((((((((((((((((((((((( snapshot@2008-01-21_15.19.58.72 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-22 17:11:22 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_740.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2333E9EA-398F-4F28-97A9-ED9C2A258D10}]
2007-12-17 20:13 314624 --a------ C:\WINDOWS\System32\hgggh.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-03 22:17 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-02-27 20:48 917504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\System32\hgggh.dll

R3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2005-06-20 10:12]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 18:12:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\hgggh.ini 443 bytes
C:\WINDOWS\system32\hgggh.ini2 443 bytes

scan completed successfully
hidden files: 2

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\WINDOWS\System32\hgggh.dll
-> C:\Program Files\Eset\pr_imon.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\System32\hgggh.dll
.
Completion time: 2008-01-22 18:15:36 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-22 17:15:14
ComboFix2.txt 2008-01-21 14:21:21
.
2008-01-13 14:33:39 --- E O F ---

et le nouveau rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:52, on 22/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\ccm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2333E9EA-398F-4F28-97A9-ED9C2A258D10} - C:\WINDOWS\System32\hgggh.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C05E1F4F-3B5F-4FC3-9A03-2617DE3B3642}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
0
jorginho67 Messages postés 14709 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
22 janv. 2008 à 18:57
Salut !
Argrrrr !!! C:\WINDOWS\System32\hgggh.dll il est toujours là... coriace celui là....

Par contre, tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.
Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici : ------------------> simple a configurer
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici : ------------> plus performant, mais plus compliqué
http://www.malekal.com/kerio_firewall.php

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement
et avant l'installation (déconnecte toi du Net à ce moment là).
--------------------------------------------------------------------------------

ensuite :
refais un scan Vundo stp
Double-clique sur VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est terminé, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
Il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

@ suivre...........
0
kooka60 Messages postés 27 Date d'inscription samedi 19 janvier 2008 Statut Membre Dernière intervention 3 août 2008
22 janv. 2008 à 21:21
Re !
Alors voilà, j'ai commencé un scan vundofix mais mon pc c'est planté, alors redemarrage et denouveau scan vundofix qui n'a trouvé aucun fichier à supprimer, est ce que c'est bon signe ou pas ?

ci joint nouvau rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:44, on 22/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\ccm.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {729D5442-B177-412F-9CEE-1157C2FA45DD} - C:\WINDOWS\System32\hgggh.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C05E1F4F-3B5F-4FC3-9A03-2617DE3B3642}: NameServer = 193.252.19.3,193.252.19.4
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
0