Sujet Précédent Sujet Suivant

Gros problèmes d'infections

GROLANDAIS Messages postés 288 Statut Membre -  
GROLANDAIS Messages postés 288 Statut Membre -
Bonjour,

Je mets ce rapport Hijackthis en espérant qu'on me trouve des trucs car j'en ai pas mal ( tout le temps des fenêtres qui s'ouvrent de casino surtout ) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:13, on 16.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\All Users\Application Data\zujonyrw\petyjsnu.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\sbmvqjsr.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Spyware Doctor\pctsGui.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {72918F97-82A7-4129-9DA8-B7E327757E83} - C:\WINDOWS\system32\wvUljGXP.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {C3E15DFE-D990-4C3F-9BE2-4CF4E3E007CE} - C:\WINDOWS\system32\mlJCUNDU.dll
O3 - Toolbar: sgoblxtm - {1F8A048D-9A0B-4565-A3D0-2A2E6B44592A} - C:\WINDOWS\sgoblxtm.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [5c12b006] rundll32.exe "C:\WINDOWS\system32\nsswygoq.dll",b
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [qmsrhuth] C:\WINDOWS\system32\nytkvchk.exe
O4 - HKCU\..\Run: [sknxqway] C:\WINDOWS\system32\sbmvqjsr.exe
O4 - HKLM\..\Policies\Explorer\Run: [euku11w5yZ] C:\Documents and Settings\All Users\Application Data\zujonyrw\petyjsnu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: mlJCUNDU - C:\WINDOWS\SYSTEM32\mlJCUNDU.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

95 réponses

Réponse 1 / 95
Ajbol Messages postés 3034 Statut Membre 403
 
Bonjour,

1 : Désinstalle ton antivirus actuel
2 : Télécharge Antivir, mets à jour et scanne ton système.
Tutorial FR : http://www.tutopat.com/viewtopic.php?t=2417 ou bien https://www.malekal.com/avira-free-security-antivirus-gratuit/ ou bien http://speedweb1.free.fr/frames2.php?page=tuto5
0
Réponse 2 / 95
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Salut,

ça ne va pas régler son problème.

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\nsswygoq.dll
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

refais la même analyse avec ces 2 fichiers :

C:\WINDOWS\system32\nytkvchk.exe

C:\WINDOWS\system32\sbmvqjsr.exe

0
Réponse 3 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Et bien merci pour vos réponse rapide,

En effet, le problème c'est ce qu'à dit Lyonnais92.

Je vais faire ça illico.

A toute suite.
0
Réponse 4 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Voici donc le rapport navilog.exe :

Search Navipromo version 3.5.4 commencé le 16.04.2008 à 18:08:26.00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "user"

Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\DOCUME~1\ALLUSE~1\APPLIC~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\user\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\user\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\user\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\user\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\user\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\PXGjlUvw.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 16.04.2008 à 18:15:40.10 ***

_________________________________________________________________________

Et Voilà donc le rapport de VIRUSTOTAL pour NSSVIGOQ:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.15.1 2008.04.16 -
AntiVir 7.6.0.85 2008.04.16 TR/Vundo.Gen
Authentium 4.93.8 2008.04.16 -
Avast 4.8.1169.0 2008.04.16 -
AVG 7.5.0.516 2008.04.16 Lop
BitDefender 7.2 2008.04.16 -
CAT-QuickHeal 9.50 2008.04.16 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.16 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.16 -
eTrust-Vet 31.3.5703 2008.04.16 -
Ewido 4.0 2008.04.16 -
F-Prot 4.4.2.54 2008.04.15 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.04.16 -
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.16 -
Ikarus T3.1.1.26.0 2008.04.16 -
Kaspersky 7.0.0.125 2008.04.16 -
McAfee 5275 2008.04.16 -
Microsoft 1.3408 2008.04.14 Trojan:Win32/Vundo.gen!D
NOD32v2 3031 2008.04.16 -
Norman 5.80.02 2008.04.16 -
Panda 9.0.0.4 2008.04.16 Suspicious file
Prevx1 V2 2008.04.16 Trojan.Vundo
Rising 20.40.22.00 2008.04.16 -
Sophos 4.28.0 2008.04.16 Troj/Virtum-Gen
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 Trojan.Vundo
TheHacker 6.2.92.280 2008.04.16 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.16 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.16 Trojan.Vundo.Gen
Information additionnelle
File size: 83008 bytes
MD5...: 196c5c980d887b49daba754b1fd099de
SHA1..: 9a2ea1cd8003b706b76f0c4deef280471c5406a5
SHA256: 048cbf0022e9ffb21115d48e2ec567418274b9efcf97fac73f37cd67ee73b3e7
SHA512: 9eb1c9eaa8ec92d2947e70c36e9b028b324dcab5965714cd6a92734f5d6f9edd
c64c26b9185e2e9beec33ad565bfb8c77a1315eed6076d34e188acc1efdb116c
PEiD..: tElock 0.99 - 1.0 private -> tE!
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10004b31
timedatestamp.....: 0x41a3ae8e (Tue Nov 23 21:41:34 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0x3c00 7.27 8acbfcebbfa166eb76d00654b507d745
.data 0x19000 0x10000 0xfa00 7.99 dba84807cd8870a8f748e8f6b1adf3dd
.rdata 0x29000 0x1000 0x400 6.35 67096c6371b975800f2ee593a8d59378
.idata 0x2a000 0x1000 0x600 2.69 e62edd0c19b22d35f6f0a4210f987ebf

( 3 imports )
> user32.dll: CreateMDIWindowA, CreateIconFromResource, CreateAcceleratorTableA, CopyRect, CharToOemBuffA
> kernel32.dll: TlsSetValue, TlsGetValue, TlsFree, GetModuleHandleA, FindResourceA, lstrcatA
> oleaut32.dll: SafeArrayDestroy, SysReAllocString, SysStringLen, SafeArrayCreate, SafeArrayAllocData, GetErrorInfo, OleLoadPicture, OleTranslateColor, RegisterTypeLib, RevokeActiveObject

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7685E7BA4016B6A3447701301232D600D2821D25
packers (Kaspersky): PE_Patch

________________________________________________________

Pour SBMVQJSR :

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.15.1 2008.04.16 -
AntiVir 7.6.0.85 2008.04.16 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.04.16 -
Avast 4.8.1169.0 2008.04.16 -
AVG 7.5.0.516 2008.04.16 Downloader.Obfuskated
BitDefender 7.2 2008.04.16 -
CAT-QuickHeal 9.50 2008.04.16 -
ClamAV 0.92.1 2008.04.16 -
DrWeb 4.44.0.09170 2008.04.16 -
eSafe 7.0.15.0 2008.04.16 -
eTrust-Vet 31.3.5703 2008.04.16 -
Ewido 4.0 2008.04.16 -
F-Prot 4.4.2.54 2008.04.15 -
F-Secure 6.70.13260.0 2008.04.16 -
FileAdvisor 1 2008.04.16 -
Fortinet 3.14.0.0 2008.04.16 -
Ikarus T3.1.1.26.0 2008.04.16 -
Kaspersky 7.0.0.125 2008.04.16 -
McAfee 5275 2008.04.16 -
Microsoft 1.3408 2008.04.14 Trojan:Win32/Busky.EC
NOD32v2 3031 2008.04.16 a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman 5.80.02 2008.04.16 -
Panda 9.0.0.4 2008.04.16 -
Prevx1 V2 2008.04.16 Downloader.Obfuskated
Rising 20.40.22.00 2008.04.16 -
Sophos 4.28.0 2008.04.16 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.16 Downloader.MisleadApp
TheHacker 6.2.92.280 2008.04.16 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.16 -
Webwasher-Gateway 6.6.2 2008.04.16 Trojan.Crypt.XPACK.Gen

Information additionnelle
File size: 106496 bytes
MD5...: 3435da02e9837297845eb08b90bcfb1b
SHA1..: 19410f5dc324eae68b7c1ba73db54991c6eec3d7
SHA256: a6aafbe807c18de8d56b52d166dbbe986a03a5815fdefbb8dd0e810c2ddf9c9b
SHA512: 54950cfddc2e5a6391cf7aa175612800721eba1b7cf334e47fe2c740af1b777d
4d8a09a0173d5fb15de01afa365b801ed9d80e93509a91ea35237acebe8ab0cb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403a3a
timedatestamp.....: 0x480606dc (Wed Apr 16 14:02:04 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16702 0x17000 6.81 e51d352c2a67e293feecc5e30a763d6f
.rdata 0x18000 0x70 0x1000 0.18 72fa5b6102597b74998acf2c9568c8c9
.data 0x19000 0x2ed0 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

( 1 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA

( 0 exports )

________________________________

Concernant nytkvchk.exe il a été enlevé avec Regedit car c'était celui qui a été détecté, et comme le problème persistait et bien j'ai commencé à touver ça bizarre !!!

Encore merci pour vos réponses !!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Rebonjour,

Je sais il y a beaucoup de monde qui pose des questions, mais je commnences un peu à avoir les " boules " sur toutes les fenêtres qui s'ouvrent ! Et je suis persuadé que c'est un virus de pro fait par des pros !

Encore merci !
0
Réponse 6 / 95
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
0
Réponse 7 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Resalut Lyonnais92 et encore merci, voilà le rapport :

SmitFraudFix v2.314

Rapport fait à 19:35:38.89, 16.04.2008
Executé à partir de C:\AntiVirusAvast\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\All Users\Application Data\zujonyrw\petyjsnu.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\sbmvqjsr.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\user\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\user\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: sgoblxtm.dll
Toolbar: sgoblxtm - {1F8A048D-9A0B-4565-A3D0-2A2E6B44592A}
TypeLib: {7ABB2F2F-8108-4813-BDEC-4C82B0D16992}
Interface: {21C2F302-AE38-4CA6-B979-FFD157CBC4DB}
Classe: sgoblxtm.bsrf
Classe: sgoblxtm.ToolBar.1

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E18A995F-7333-4504-A492-580794A9E477}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E18A995F-7333-4504-A492-580794A9E477}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E18A995F-7333-4504-A492-580794A9E477}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Si jamais c'est plus clair, mais maintenant je reçois des messages de conflits avec mes fichiers systèmes ...Gloups !!!
0
Réponse 8 / 95
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
0
Réponse 9 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Super merci pour la réponse rapide !

OK j'y vais de suite !
0
Réponse 10 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Voilà voilà,

J'ai donc remarqué simplement un changement au redémarrage : le changement de la page d'entrée sur le Net.
A part ça, le logiciel m'a fait un nettoyage du disque et c'est le seul " oui " que j' ai mis.

J'espère que ce sera la bonne cette fois :) !

SmitFraudFix v2.314

Rapport fait à 19:54:52.50, 16.04.2008
Executé à partir de C:\AntiVirusAvast\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\sgoblxtm.dll deleted.

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E18A995F-7333-4504-A492-580794A9E477}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E18A995F-7333-4504-A492-580794A9E477}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E18A995F-7333-4504-A492-580794A9E477}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 11 / 95
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Remets aussi un rapport Hijackthis.
0
Réponse 12 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Encore merci pour ta patience Lyonnais92 :

Le site commence à surcharger et il ne supporte pas la déclaration ComboFix.... tout seul...
0
Réponse 13 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Bon ben,

j'essaies sans arrêt de mettre le rapport ici, mais rien y fait !!

ça bloque !
0
Réponse 14 / 95
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

mets le en 2 morceaux si nécessaire.
0
Réponse 15 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
T'es encore là ;) ! J'ai de la chance !

Oui j'ai essayé, mais même là c'est pas bon !

Bon j'essayes en 4.
0
Réponse 16 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Morceau 1 :

Voilà d'abord ComboFix :

ComboFix 08-04-15.8 - user 2008-04-16 21:03:07.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1582 [GMT 2:00]
Endroit: C:\Documents and Settings\user\Mes documents\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((( Autres suppressions ))))))))))))))))

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\mlJCUNDU.dll
C:\WINDOWS\system32\nsswygoq.dll
C:\WINDOWS\system32\PXGjlUvw.ini
C:\WINDOWS\system32\PXGjlUvw.ini2
C:\WINDOWS\system32\qlxdopum.ini
C:\WINDOWS\system32\qogywssn.ini
C:\WINDOWS\system32\wvUljGXP.dll
0
Réponse 17 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Bon c'est la cata.... je crois qu'il y a un problème d'écriture, comme dans les traducteurs en ligne !

il suffit d'un truc pour que ça ne fonctionne pas.

Il y a possibilité de te l'envoyer par mail ?????

Encore merci !
0
Réponse 18 / 95
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

non, essaye de remettre un rapport Hijackthis.
0
Réponse 19 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Oui j'essaies,

et c'est le même gag maintenant, ça doit être la surcharge !
0
Réponse 20 / 95
GROLANDAIS Messages postés 288 Statut Membre 3
 
Bon on recommence pas à pas , pffff....

2008-04-16 19:36 . 2008-04-16 19:55 3,740 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-16 19:35 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-16 19:35 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-16 19:35 . 2008-04-14 19:28 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-16 19:35 . 2008-04-12 13:49 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-16 19:35 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-16 19:35 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-16 19:35 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-16 18:05 . 2008-04-16 18:19 <REP> d-------- C:\Program Files\Navilog1
0