Win32BHO-KD[trj] Besoin de votre aide.
Résolu
DeadKNEDYS
Messages postés
6
Statut
Membre
-
Saiyen75 Messages postés 2699 Statut Membre -
Saiyen75 Messages postés 2699 Statut Membre -
Bonjour à tous !
Comme le titre l'indique, je suis victime (j'exagère un peu :P) d'un super virus nommé Win32BHO-KD[trj] et j'ai un peu de peine à m'en débarasser vu mes "connaissances" dans ce domaine...
J'ai utilisé Combofix et voila le rapport.
ComboFix 08-02.05.3 - Administrateur 2008-02-08 9:41:16.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.78 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\cmpropsw.dll . . . . Echec de suppression
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_VHFSUXQR
-------\vhfsuxqr
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))
.
2008-01-14 07:39 . 2008-01-14 07:39 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2008-01-14 07:39 . 2008-01-14 07:39 741,632 --a------ C:\WINDOWS\system32\ietxhewj.dat
2008-01-14 07:39 . 2008-01-14 07:39 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2008-01-14 07:39 . 2008-01-28 09:44 42,752 --a------ C:\WINDOWS\system32\tvjattlp.dat
2008-01-14 07:39 . 2008-01-28 09:44 36,608 --a------ C:\WINDOWS\system32\hhbeoovo.dat
2008-01-14 07:39 . 2008-01-14 07:39 35,072 --a------ C:\WINDOWS\system32\veycjlrp.dat
2008-01-10 20:28 . 2008-01-10 20:28 120,576 --a------ C:\WINDOWS\system32\dtatmmuz.dat
2008-01-10 20:21 . 2008-02-08 09:45 83,968 --a------ C:\WINDOWS\system32\cmpropsw.dll
2008-01-10 20:21 . 19,584 C:\WINDOWS\system32\drivers\qakfyoki.dat
2008-01-10 20:21 . 2008-01-10 20:20 15,872 --a------ C:\WINDOWS\system32\qj3ztp0x.exe
2008-01-10 20:19 . 2001-08-28 13:00 83,968 --a------ C:\WINDOWS\system32\dgrpsetuh.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-08 08:51 65,536 ----a-w C:\WINDOWS\system32\drivers\CnxE2FS.bin
2008-01-02 07:41 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85C35E4F-1CC7-4EBF-838C-11EC558A2EF9}]
2001-08-28 13:00 83968 --a------ C:\WINDOWS\System32\dgrpsetuh.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA}]
2008-02-08 09:45 83968 --a------ c:\windows\system32\cmpropsw.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 13:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-04-19 06:51 171448]
"qj3ztp0x"="C:\WINDOWS\system32\qj3ztp0x.exe" [2008-01-10 20:20 15872]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISDN Monitor"="Linksts.exe" [2001-03-14 08:50 229376 C:\WINDOWS\system32\linksts.exe]
"Motive SmartBridge"="C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe" [2005-07-29 07:37 397312]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06 79224]
"PMXInit"="C:\WINDOWS\System32\pmxinit.exe" [2004-09-22 00:00 749636]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-02-16 07:25 180269]
"Update 4300C"="C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe" [2001-12-19 09:37 28672]
"Babylon Client"="C:\Program Files\Babylon\Babylon.exe" [2005-12-01 18:22 2446376]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-05-26 11:45 257088]
"qj3ztp0x"="C:\WINDOWS\system32\qj3ztp0x.exe" [2008-01-10 20:20 15872]
"combofix"="C:\WINDOWS\system32\kmd.exe" [2001-08-28 13:00 388096]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 13:00 13312]
R0 dgrhegbx;dgrhegbx;C:\WINDOWS\System32\drivers\qakfyoki.dat []
R0 isdnlink;isdnlink;C:\WINDOWS\System32\DRIVERS\linkisdn.sys [2001-02-22 09:31]
R3 powervr;powervr;C:\WINDOWS\System32\DRIVERS\powervr.sys [2004-09-22 12:07]
R3 wanlink;wanlink;C:\WINDOWS\System32\DRIVERS\wanlink.sys [2001-02-22 09:33]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 09:51:12
Windows 5.1.2600 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\Program Files\Bluewin\Quick Help\bin\mpbtn.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-08 9:54:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-08 08:53:48
Comme le titre l'indique, je suis victime (j'exagère un peu :P) d'un super virus nommé Win32BHO-KD[trj] et j'ai un peu de peine à m'en débarasser vu mes "connaissances" dans ce domaine...
J'ai utilisé Combofix et voila le rapport.
ComboFix 08-02.05.3 - Administrateur 2008-02-08 9:41:16.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.78 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\cmpropsw.dll . . . . Echec de suppression
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_VHFSUXQR
-------\vhfsuxqr
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))
.
2008-01-14 07:39 . 2008-01-14 07:39 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2008-01-14 07:39 . 2008-01-14 07:39 741,632 --a------ C:\WINDOWS\system32\ietxhewj.dat
2008-01-14 07:39 . 2008-01-14 07:39 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2008-01-14 07:39 . 2008-01-28 09:44 42,752 --a------ C:\WINDOWS\system32\tvjattlp.dat
2008-01-14 07:39 . 2008-01-28 09:44 36,608 --a------ C:\WINDOWS\system32\hhbeoovo.dat
2008-01-14 07:39 . 2008-01-14 07:39 35,072 --a------ C:\WINDOWS\system32\veycjlrp.dat
2008-01-10 20:28 . 2008-01-10 20:28 120,576 --a------ C:\WINDOWS\system32\dtatmmuz.dat
2008-01-10 20:21 . 2008-02-08 09:45 83,968 --a------ C:\WINDOWS\system32\cmpropsw.dll
2008-01-10 20:21 . 19,584 C:\WINDOWS\system32\drivers\qakfyoki.dat
2008-01-10 20:21 . 2008-01-10 20:20 15,872 --a------ C:\WINDOWS\system32\qj3ztp0x.exe
2008-01-10 20:19 . 2001-08-28 13:00 83,968 --a------ C:\WINDOWS\system32\dgrpsetuh.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-08 08:51 65,536 ----a-w C:\WINDOWS\system32\drivers\CnxE2FS.bin
2008-01-02 07:41 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85C35E4F-1CC7-4EBF-838C-11EC558A2EF9}]
2001-08-28 13:00 83968 --a------ C:\WINDOWS\System32\dgrpsetuh.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA}]
2008-02-08 09:45 83968 --a------ c:\windows\system32\cmpropsw.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 13:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-04-19 06:51 171448]
"qj3ztp0x"="C:\WINDOWS\system32\qj3ztp0x.exe" [2008-01-10 20:20 15872]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISDN Monitor"="Linksts.exe" [2001-03-14 08:50 229376 C:\WINDOWS\system32\linksts.exe]
"Motive SmartBridge"="C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe" [2005-07-29 07:37 397312]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06 79224]
"PMXInit"="C:\WINDOWS\System32\pmxinit.exe" [2004-09-22 00:00 749636]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-02-16 07:25 180269]
"Update 4300C"="C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe" [2001-12-19 09:37 28672]
"Babylon Client"="C:\Program Files\Babylon\Babylon.exe" [2005-12-01 18:22 2446376]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-05-26 11:45 257088]
"qj3ztp0x"="C:\WINDOWS\system32\qj3ztp0x.exe" [2008-01-10 20:20 15872]
"combofix"="C:\WINDOWS\system32\kmd.exe" [2001-08-28 13:00 388096]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 13:00 13312]
R0 dgrhegbx;dgrhegbx;C:\WINDOWS\System32\drivers\qakfyoki.dat []
R0 isdnlink;isdnlink;C:\WINDOWS\System32\DRIVERS\linkisdn.sys [2001-02-22 09:31]
R3 powervr;powervr;C:\WINDOWS\System32\DRIVERS\powervr.sys [2004-09-22 12:07]
R3 wanlink;wanlink;C:\WINDOWS\System32\DRIVERS\wanlink.sys [2001-02-22 09:33]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 09:51:12
Windows 5.1.2600 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\Program Files\Bluewin\Quick Help\bin\mpbtn.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-08 9:54:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-08 08:53:48
A voir également:
- Win32BHO-KD[trj] Besoin de votre aide.
- Trj/ci.a ✓ - Forum Virus
- Ini shortcut inf trj ✓ - Forum Virus
- Win64:evo-gen [trj] ✓ - Forum Antivirus
- Win64:malwarex-gen [trj] - Forum Virus
- Win32:evo-gen [trj] ✓ - Forum Virus
5 réponses
Salut,
On va commencer par faire un scan SDFix puis aprés tu me posteras un log hijackthis :
SDFix :
Télécharger sur le bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
= Double-clic SDFix.
= Clic Install
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes).
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.
Pour démarrer en mode sans échec :
1/ -Démarrez Windows, ou s’il s’exécute, fermez Windows puis éteignez l'ordinateur.
2/ -Redémarrez l’ordinateur.
3/ -Au début du chargement du BIOS (mais pas trop tôt), commencez à appuyer sur la touche F8 de votre clavier plusieurs fois de suite. Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaissent.
4/ -En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.
Une fois sous windows :
------
= Double-clic SDFix.
= Clic Install
= Double-clic sur le nouveau dossier SDFix qui est dans C:\
= Double-clic RunThis
= Presser Y
= A l’invitation ==> appuyer sur une touche pour redémarrer
= Redémarrage ( qui sera plus long ,car nettoyage en cours )
Continuer si un message d’erreurs apparaît ,dans ce cas aller directement au rapport dans SDfix
= apparition de Finished
= Appuyer sur une touche
= Dans SDFix , un rapport est généré, Report.txt
= Copier/Coller sur le forum.
_____________________________________________________
Colle un Log hijackthis :
télécharge HijackThis ici :
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier
Par exemple C:\hijackthis < Enregistre le bien dans c:\
Lance le puis:
clique sur "do a system scan and save logfile"
faire un copier coller du log et le poster sur le forum
Tuto ici: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
_____________________________________________________
++
On va commencer par faire un scan SDFix puis aprés tu me posteras un log hijackthis :
SDFix :
Télécharger sur le bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
= Double-clic SDFix.
= Clic Install
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes).
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.
Pour démarrer en mode sans échec :
1/ -Démarrez Windows, ou s’il s’exécute, fermez Windows puis éteignez l'ordinateur.
2/ -Redémarrez l’ordinateur.
3/ -Au début du chargement du BIOS (mais pas trop tôt), commencez à appuyer sur la touche F8 de votre clavier plusieurs fois de suite. Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaissent.
4/ -En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.
Une fois sous windows :
------
= Double-clic SDFix.
= Clic Install
= Double-clic sur le nouveau dossier SDFix qui est dans C:\
= Double-clic RunThis
= Presser Y
= A l’invitation ==> appuyer sur une touche pour redémarrer
= Redémarrage ( qui sera plus long ,car nettoyage en cours )
Continuer si un message d’erreurs apparaît ,dans ce cas aller directement au rapport dans SDfix
= apparition de Finished
= Appuyer sur une touche
= Dans SDFix , un rapport est généré, Report.txt
= Copier/Coller sur le forum.
_____________________________________________________
Colle un Log hijackthis :
télécharge HijackThis ici :
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier
Par exemple C:\hijackthis < Enregistre le bien dans c:\
Lance le puis:
clique sur "do a system scan and save logfile"
faire un copier coller du log et le poster sur le forum
Tuto ici: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
_____________________________________________________
++
Voila le rapport SDFIx
SDFix: Version 1.138
Run by Administrateur on 08.02.2008 at 15:45
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Name:
dgrhegbx
Path:
system32\drivers\qakfyoki.dat
dgrhegbx - Deleted
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Service dgrhegbx - Deleted after Reboot
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\system32\drivers\qakfyoki.dat - Deleted
C:\WINDOWS\SYSTEM32\DGRPSE~1.DLL - Deleted
Removing Temp Files...
ADS Check:
Final Check:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 15:55:11
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4VSB4HQ3\l3f_scdp[3].xml
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XI301YF\wcic_scpd[5].xml
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UZU927E5\devdescr[7].xml
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 3
Remaining Services:
------------------
dgrhegbx
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
C:\WINDOWS\system32\drivers\qakfyoki.dat Found
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes:
Fri 30 Mar 2007 117,177,619 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\eadf4c6243f4f494bf29c74db1a1b1fc\download\BIT17.tmp"
Finished!
Et voila le rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:33, on 08.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\Linksts.exe
C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\qj3ztp0x.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Bluewin\Quick Help\bin\mpbtn.exe
C:\Program Files\internet explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {85C35E4F-1CC7-4EBF-838C-11EC558A2EF9} - C:\WINDOWS\System32\dgrpsetuh.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA} - c:\windows\system32\cmpropsw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Update 4300C] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe 4300C+
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Iomega Backup Scheduler.lnk = C:\Program Files\Iomega\Iomega Backup\dtiom98.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: Options de démarrage Iomega.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: Quick Help.lnk = C:\Program Files\Bluewin\Quick Help\bin\matcli.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: oiccgtue - C:\WINDOWS\SYSTEM32\cmpropsw.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINDOWS\System32\ZipToA.exe
SDFix: Version 1.138
Run by Administrateur on 08.02.2008 at 15:45
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Name:
dgrhegbx
Path:
system32\drivers\qakfyoki.dat
dgrhegbx - Deleted
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Service dgrhegbx - Deleted after Reboot
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\system32\drivers\qakfyoki.dat - Deleted
C:\WINDOWS\SYSTEM32\DGRPSE~1.DLL - Deleted
Removing Temp Files...
ADS Check:
Final Check:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 15:55:11
Windows 5.1.2600 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4VSB4HQ3\l3f_scdp[3].xml
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XI301YF\wcic_scpd[5].xml
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UZU927E5\devdescr[7].xml
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 3
Remaining Services:
------------------
dgrhegbx
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
C:\WINDOWS\system32\drivers\qakfyoki.dat Found
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes:
Fri 30 Mar 2007 117,177,619 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\eadf4c6243f4f494bf29c74db1a1b1fc\download\BIT17.tmp"
Finished!
Et voila le rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:33, on 08.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\Linksts.exe
C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\qj3ztp0x.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Bluewin\Quick Help\bin\mpbtn.exe
C:\Program Files\internet explorer\iexplore.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {85C35E4F-1CC7-4EBF-838C-11EC558A2EF9} - C:\WINDOWS\System32\dgrpsetuh.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA} - c:\windows\system32\cmpropsw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Update 4300C] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe 4300C+
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Iomega Backup Scheduler.lnk = C:\Program Files\Iomega\Iomega Backup\dtiom98.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: Options de démarrage Iomega.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: Quick Help.lnk = C:\Program Files\Bluewin\Quick Help\bin\matcli.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: oiccgtue - C:\WINDOWS\SYSTEM32\cmpropsw.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINDOWS\System32\ZipToA.exe
J'ai plus d'alerte de l antivirus donc je dirais que le problème est résolu :)
Saiyen75 je te remercie !
Saiyen75 je te remercie !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
SmitFraudFix :
Télécharger SmitFraudFix (merci à S!Ri pour ce petit programme) ici :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
Choisir l’option 1, il va générer un rapport
Copier-coller ce dernier dans un message sur le forum
_____________________________________________________
Fixe les lignes dans Hijackthis :
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O2 - BHO: (no name) - {85C35E4F-1CC7-4EBF-838C-11EC558A2EF9} - C:\WINDOWS\System32\dgrpsetuh.dll (file missing)
O2 - BHO: (no name) - {C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA} - c:\windows\system32\cmpropsw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
O4 - HKCU\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
S'il te demande un redémarrage, relance ton PC.
_____________________________________________________
Télécharger SmitFraudFix (merci à S!Ri pour ce petit programme) ici :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
Choisir l’option 1, il va générer un rapport
Copier-coller ce dernier dans un message sur le forum
_____________________________________________________
Fixe les lignes dans Hijackthis :
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
O2 - BHO: (no name) - {85C35E4F-1CC7-4EBF-838C-11EC558A2EF9} - C:\WINDOWS\System32\dgrpsetuh.dll (file missing)
O2 - BHO: (no name) - {C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA} - c:\windows\system32\cmpropsw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
O4 - HKCU\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
S'il te demande un redémarrage, relance ton PC.
_____________________________________________________
