Cheval de troie DCOM exploit

Fermé
Utilisateur anonyme - 18 mai 2008 à 15:42
 Utilisateur anonyme - 19 mai 2008 à 19:25
Bonjour,


Suite à une mise à jour avec windows update mon pc a completement bugé, j'ai donc du formaté mais maintenant je me retrouve avec des virus, cheval de troie... J'ai essayé d'en virer quelques uns mais je reçois toujours des messages comme attaque de DCOM et LSASS exploit, cheval de troie...
J'aurai donc voulu avoir de l'aide par rapport à ça


Merci d'avance









Mon rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:40:47, on 18/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Propriétaire\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BM4bb5f1de] Rundll32.exe "C:\WINDOWS\System32\dhlhpthg.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

27 réponses

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
18 mai 2008 à 21:21
salut
juste pour aider

il faut d abord arreter le service et le virer ensuite

a++
1
Utilisateur anonyme
18 mai 2008 à 21:25
Quel service parce qu'on parlait de tellement de chose...
0
Utilisateur anonyme
18 mai 2008 à 15:48
salut

désinstalle avast puis mes antivir fais un scan et supprime tous se qu'il trouve puis reposte moi un log hijackthis

reglages pour antivir :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level


aussi clic sur guard puis coche scan archive puis tu decoche les 3 case en dessous puis ok
0
totobetourne Messages postés 5592 Date d'inscription dimanche 23 mars 2008 Statut Membre Dernière intervention 6 juin 2012 65
18 mai 2008 à 15:56
hijack est mal installe , il faut l installer dans c/programme/........./hijack.exe

1)tu n as pas de pare feu , a la fin de ton probleme n oublie pas d en installer un car celui de windows c est de la merde.

2)tu n as pas vraiment d antivirus avec avast, si tu veux rester en gratuit tu as antivir plus performant pour l instant.

mais ne fais cela qu a la fin.
0
Utilisateur anonyme
18 mai 2008 à 16:02
Comment il faut sy prendre pour pouvoir installer hijack à cet emplacement ?
0
Utilisateur anonyme
18 mai 2008 à 16:06
fais d'abord se que je t'ai dit puis après on remettra hijackthis au bon emplacement
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
totobetourne Messages postés 5592 Date d'inscription dimanche 23 mars 2008 Statut Membre Dernière intervention 6 juin 2012 65
18 mai 2008 à 16:08
a ta facon de me repondre tu as un xp.
et bien vraiment sais pas car avec vista je choisis ou je l installe, je n ai pas le lien mais en faisant une recherche sur les differentes discutions de comment ca marche tu trouveras le tuto.
0
totobetourne Messages postés 5592 Date d'inscription dimanche 23 mars 2008 Statut Membre Dernière intervention 6 juin 2012 65
18 mai 2008 à 16:10
fias d abord antivir, histoire de faire antivir.
0
Utilisateur anonyme
18 mai 2008 à 16:11
reglages pour antivir :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level


aussi clic sur guard puis coche scan archive puis tu decoche les 3 case en dessous puis ok
0
Utilisateur anonyme
18 mai 2008 à 16:31
Ok, c'est fait j'ai supprimé une dizaine de fichiers :)
0
Utilisateur anonyme
18 mai 2008 à 16:31
ok le scan et terminer?
0
Utilisateur anonyme
18 mai 2008 à 16:32
oui
0
Utilisateur anonyme
18 mai 2008 à 16:32
telecharge spybot et malwarebytes mes les a jour puis fais un scan et supprime tous se qu'ils trouvent

a l'installation de spybot décoche la case :

use système protection (teatimer)

quand tu demare spybot il te dise de vacciner ton systeme tu saute l'etape la tu le mes a jour
avant et apres tu vaccine ton systeme

pout vacciner ton systeme tu clic sur vaccination en haut a gauche
et tu clic a la fin du scan sur vacciner

pour malwarebytes tu fais un scan complet
0
Utilisateur anonyme
18 mai 2008 à 18:56
J'ai fait les scans aussi avec les deux logiciels, ms je viens de recevoir un arret de système :(
0
Utilisateur anonyme
18 mai 2008 à 18:58
a ca donne quoi?
0
Utilisateur anonyme
18 mai 2008 à 18:59
J'ai supprimé pas mal de fichiers mais bon j'ai reçu un arret du systeme donc ce n'est pas très positif ..
0
Utilisateur anonyme
18 mai 2008 à 19:02
ok maintenant fais ça:


* Télécharger Combifix (by Subs) sur cette page :
* http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Enregistrez le sur le bureau
* Déconnectez vous d'internet et fermez toutes tes applications et programmes
* Double-cliquez sur combo-fix.exe
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée sous la racine: C:\Combofix.txt

Remarque : combo se charge de supprimer un certain nombre de fichiers infectés liés à bagle.
Il est impératif de télécharger combo par le lien donné précédemment ( version renommée ) ou alors de renommer vous même combo ( clic droit sur le fichier < renommer ), car sinon Combo sera totalement inefficace face à Bagle !
(vous pouver renomer combofix en n'importe quoi comme killer ou tuer etc...)

vous me poster le rapport
0
Utilisateur anonyme
18 mai 2008 à 19:45
ComboFix 08-05-15.3 - Propriétaire 2008-05-18 19:36:15.2 - NTFSx86

Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\impmkcoq.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-18 to 2008-05-18 ))))))))))))))))))))))))))))))))))))
.

2008-05-18 19:28 . 2008-05-18 19:30 <REP> d-------- C:\WINDOWS\LastGood.Tmp
2008-05-18 19:28 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-05-18 19:28 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-05-18 19:28 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-05-18 19:28 . 2004-08-03 14:00 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2008-05-18 19:28 . 2004-08-03 13:59 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2008-05-18 19:28 . 2004-08-03 13:57 39,704 --a------ C:\WINDOWS\system32\wups.dll
2008-05-18 19:13 . 2008-05-18 19:13 120 --a------ C:\WINDOWS\system32\lvmbidz.bat
2008-05-18 19:12 . 2008-05-18 19:12 88,064 --ah----- C:\WINDOWS\system32\vqvbx.exe
2008-05-18 19:12 . 2008-05-18 19:12 123 --a------ C:\WINDOWS\system32\cwxbjjt.bat
2008-05-18 19:11 . 2008-05-18 19:11 116,736 --ah----- C:\WINDOWS\system32\jxgiza.exe
2008-05-18 19:11 . 2008-05-18 19:11 117 --a------ C:\WINDOWS\system32\hhez.bat
2008-05-18 19:10 . 2008-05-18 19:10 116,736 --ah----- C:\WINDOWS\system32\rzgfm.exe
2008-05-18 17:15 . 2008-05-18 17:15 156 --a------ C:\WINDOWS\wininit.ini
2008-05-18 16:45 . 2008-05-18 16:45 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-18 16:45 . 2008-05-18 16:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
2008-05-18 16:45 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-18 16:45 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-18 16:40 . 2008-05-18 16:40 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-18 16:40 . 2008-05-18 16:41 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2008-05-18 16:06 . 2008-05-18 16:06 <REP> d-------- C:\Program Files\Avira
2008-05-18 16:06 . 2008-05-18 16:06 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
2008-05-18 16:05 . 2008-05-18 16:06 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-05-18 14:22 . 2008-05-18 14:22 830 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-18 14:22 . 2008-05-18 14:22 0 --a------ C:\WINDOWS\system32\tmp.MSNFix
2008-05-18 12:21 . 2008-05-18 12:21 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-05-18 12:21 . 2008-05-18 12:21 <REP> d-------- C:\Program Files\Free
2008-05-18 12:00 . 2008-05-18 12:00 133,120 --a------ C:\WINDOWS\system32\dywypvqb.dll
2008-05-18 11:58 . 2008-05-18 16:25 109,868 --a------ C:\WINDOWS\BM4bb5f1de.xml
2008-05-17 21:44 . 2008-05-17 21:44 <REP> d-------- C:\Program Files\Lavasoft
2008-05-17 21:44 . 2008-05-17 21:44 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-17 21:44 . 2008-05-17 21:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
2008-05-17 19:42 . 2008-05-18 17:07 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-17 18:14 . 2008-05-17 18:14 <REP> d-------- C:\WINDOWS\Sun
2008-05-17 18:01 . 2008-05-17 18:01 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
2008-05-17 17:58 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-17 17:55 . 2008-05-17 17:58 <REP> d-------- C:\Program Files\Java
2008-05-17 17:54 . 2008-05-17 17:54 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-05-17 17:49 . 2008-05-17 20:40 <REP> d-------- C:\Program Files\Panda Security
2008-05-17 17:47 . 2008-05-17 17:47 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-17 17:47 . 2008-05-17 17:47 <REP> d-------- C:\WINDOWS\AU_Log
2008-05-17 17:47 . 2008-05-17 17:47 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-05-17 17:47 . 2008-05-17 17:47 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-05-17 17:47 . 2008-05-17 17:47 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-05-17 17:47 . 2008-05-17 17:47 170 --a------ C:\WINDOWS\GetServer.ini
2008-05-17 17:47 . 2008-05-17 17:47 40 --a------ C:\WINDOWS\TSC.INI
2008-05-17 17:29 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-17 17:29 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-17 17:29 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-17 17:29 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-17 17:29 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-17 17:29 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-17 17:29 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-17 17:22 . 2008-05-17 17:22 <REP> d-------- C:\Program Files\Windows Live
2008-05-17 17:22 . 2008-05-17 17:22 268 --ah----- C:\sqmdata01.sqm
2008-05-17 17:22 . 2008-05-17 17:22 244 --ah----- C:\sqmnoopt01.sqm
2008-05-17 17:20 . 2008-05-17 17:22 <REP> d-------- C:\Program Files\Messenger Plus! Live
2008-05-17 17:20 . 2008-05-17 17:20 268 --ah----- C:\sqmdata00.sqm
2008-05-17 17:20 . 2008-05-17 17:20 244 --ah----- C:\sqmnoopt00.sqm
2008-05-17 17:19 . 2008-05-17 17:19 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-17 17:18 . 2008-05-17 17:22 <REP> d-------- C:\Program Files\MSN Messenger
2008-05-17 17:15 . 2008-05-17 17:15 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-17 16:03 . 2008-05-18 16:44 <REP> d-------- C:\Program Files\a-squared Free
2008-05-17 14:45 . 2008-05-17 14:45 1,635 --a------ C:\WINDOWS\system32\zildqa.exe
2008-05-17 14:45 . 2008-05-17 14:45 1,635 --a------ C:\WINDOWS\system32\lyhpfqg.exe
2008-05-17 14:40 . 2002-08-29 12:33 52,736 --a------ C:\WINDOWS\system32\drivers\i8042prt.sys
2008-05-17 14:40 . 2002-08-29 12:44 20,480 --a------ C:\WINDOWS\system32\hidserv.dll
2008-05-17 14:40 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-05-17 14:40 . 2008-05-17 14:40 1,635 --a------ C:\WINDOWS\system32\krtjxp.exe
2008-05-17 14:40 . 2008-05-17 14:40 1,635 --a------ C:\WINDOWS\system32\hlio.exe
2008-05-17 14:38 . 2008-05-18 16:45 <REP> dr------- C:\Program Files
2008-05-17 14:37 . 2008-05-18 19:35 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-17 14:37 . 2008-05-17 14:37 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
2008-05-17 14:37 . 2008-05-17 14:37 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2008-05-17 14:37 . 2008-05-17 13:42 <REP> d--h----- C:\Documents and Settings\Default User\ModŠles
2008-05-17 14:37 . 2008-05-17 14:37 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
2008-05-17 14:37 . 2008-05-17 14:37 <REP> dr------- C:\Documents and Settings\Default User\Menu D‚marrer
2008-05-17 14:37 . 2008-05-17 14:37 <REP> d-------- C:\Documents and Settings\Default User\Favoris
2008-05-17 14:37 . 2008-05-17 14:37 <REP> d-------- C:\Documents and Settings\Default User\Bureau
2008-05-17 14:37 . 2008-05-17 14:37 <REP> d--h----- C:\Documents and Settings\All Users\ModŠles
2008-05-17 14:37 . 2008-05-17 20:43 <REP> dr------- C:\Documents and Settings\All Users\Menu D‚marrer
2008-05-17 14:37 . 2008-05-17 14:37 <REP> d-------- C:\Documents and Settings\All Users\Favoris
2008-05-17 14:37 . 2008-05-17 13:43 <REP> dr------- C:\Documents and Settings\All Users\Documents
2008-05-17 14:37 . 2008-05-18 16:45 <REP> d-------- C:\Documents and Settings\All Users\Bureau
2008-05-17 14:36 . 2008-05-17 14:36 57,344 --a------ C:\WINDOWS\system32\vtUljgFU.dll
2008-05-17 14:36 . 2008-05-17 14:36 1,635 --a------ C:\WINDOWS\system32\quargjgd.exe
2008-05-17 14:36 . 2008-05-17 14:36 1,635 --a------ C:\WINDOWS\system32\csrghyn.exe
2008-05-17 14:26 . 2008-05-17 17:59 143 --a------ C:\WINDOWS\system32\mcrh.MSNFix
2008-05-17 14:16 . 2008-05-17 14:16 1,635 --a------ C:\WINDOWS\system32\qamdu.exe
2008-05-17 14:16 . 2008-05-17 14:16 1,635 --a------ C:\WINDOWS\system32\ldovc.exe
2008-05-17 14:14 . 2008-05-17 14:14 1,635 --a------ C:\WINDOWS\system32\oamncue.exe
2008-05-17 14:14 . 2008-05-17 14:14 1,635 --a------ C:\WINDOWS\system32\kcmbrrlr.exe
2008-05-17 14:08 . 2008-05-17 14:08 1,635 --a------ C:\WINDOWS\system32\wqhpd.exe
2008-05-17 14:08 . 2008-05-17 14:08 1,635 --a------ C:\WINDOWS\system32\tred.exe
2008-05-17 14:01 . 2008-05-17 14:01 1,635 --a------ C:\WINDOWS\system32\swsyydr.exe
2008-05-17 14:01 . 2008-05-17 14:01 1,635 --a------ C:\WINDOWS\system32\hcmn.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-17 13:48 57,344 ----a-w C:\WINDOWS\system32\vtUonmMC.dll
2008-05-17 13:48 1,635 ----a-w C:\WINDOWS\system32\vdioxhsi.exe
2008-05-17 13:48 1,635 ----a-w C:\WINDOWS\system32\sfkm.exe
2008-05-17 13:27 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft
2008-05-17 13:25 --------- d-----w C:\Program Files\CCleaner
2008-05-17 13:13 1,635 ----a-w C:\WINDOWS\system32\icvkz.exe
2008-05-17 13:13 1,635 ----a-w C:\WINDOWS\system32\amwbore.exe
2008-05-17 13:00 1,635 ----a-w C:\WINDOWS\system32\xwyyesv.exe
2008-05-17 13:00 1,635 ----a-w C:\WINDOWS\system32\jeip.exe
2008-05-17 12:20 44,032 ----a-w C:\WINDOWS\system32\ftp.exe
2008-05-17 12:20 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
2008-05-17 11:57 1,635 ----a-w C:\WINDOWS\system32\wliilc.exe
2008-05-17 11:57 1,635 ----a-w C:\WINDOWS\system32\mwgxy.exe
2008-05-17 11:57 --------- d-----w C:\Program Files\Alwil Software
2008-05-17 11:52 135,168 ----a-w C:\WINDOWS\system32\sfc_os.dll
2008-05-17 11:52 1,635 ----a-w C:\WINDOWS\system32\pwwo.exe
2008-05-17 11:52 1,635 ----a-w C:\WINDOWS\system32\irwzq.exe
2008-05-17 11:47 1,635 ----a-w C:\WINDOWS\system32\zidklto.exe
2008-05-17 11:47 1,635 ----a-w C:\WINDOWS\system32\xvwh.exe
2008-05-17 11:46 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-17 11:45 558,142 ----a-w C:\WINDOWS\java\Packages\XRDV7V3L.ZIP
2008-05-17 11:45 155,995 ----a-w C:\WINDOWS\java\Packages\VLJXJJ5V.ZIP
2008-05-17 11:44 --------- d-----w C:\Program Files\Services en ligne
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e214f8a5-177d-4bed-9712-0f43f6db762b}]
2008-05-18 12:00 133120 --a------ C:\WINDOWS\System32\dywypvqb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 0 (0x0)
"NoMovingBands"= 0 (0x0)
"NoCloseDragDropBands"= 0 (0x0)
"LockTaskbar"= 0 (0x0)
"NoToolbarCustomize"= 0 (0x0)
"NoTaskGrouping"= 0 (0x0)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;C:\WINDOWS\System32\DRIVERS\AN983.sys [2002-08-28 23:59]
S2 MSDisk;Network helper Service;"C:\WINDOWS\System32\irdvxc.exe" /service []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 19:41:04
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...


C:\WINDOWS\system32\irdvxc.exe 72704 bytes executable

Scan termin‚ avec succŠs
Les fichiers cach‚s: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-18 19:42:49 - machine was rebooted [Propri‚taire]
ComboFix-quarantined-files.txt 2008-05-18 17:42:45

Pre-Run: 79,726,899,200 octets libres
Post-Run: 79,725,744,128 octets libres

187
0
Utilisateur anonyme
18 mai 2008 à 19:48
ok

maintenant tu me recolle un log hijackthis
0
Utilisateur anonyme
18 mai 2008 à 19:50
Voilaaa :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:04, on 18/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Propriétaire\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {b267bd6f-34f0-2179-deb4-d7715a8f412e} - {e214f8a5-177d-4bed-9712-0f43f6db762b} - C:\WINDOWS\System32\dywypvqb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-21-1482476501-1715567821-682003330-1003\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe
0
Utilisateur anonyme
18 mai 2008 à 19:52
coche les cases :

O2 - BHO: {b267bd6f-34f0-2179-deb4-d7715a8f412e} - {e214f8a5-177d-4bed-9712-0f43f6db762b} - C:\WINDOWS\System32\dywypvqb.dll

O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe

puis tu clic sur fixchked et c'est bon
0
Utilisateur anonyme
18 mai 2008 à 19:59
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe

Cette ligne se supprime mais réapparait tout de suite après ...
0
Utilisateur anonyme
18 mai 2008 à 20:07
supprime le fichier manuellement en mode sans echec
0
Utilisateur anonyme
18 mai 2008 à 20:14
Ok merci beaucoup pour ton aide en tout cas, si il ya un autre problème je reviens t'embeter =)
0
Utilisateur anonyme
18 mai 2008 à 20:15
ok derien

n'oublie pas de mettre résolue
0
Utilisateur anonyme
18 mai 2008 à 21:03
Apparemment ce n'est pas reglé, j'ai reçu un avertissement me disant " la mémoire ne peut pas être written" quelque chose comme ça et ensuite jai reçu un arret du système qui s'arrete heuresement avec shutdown...
0
Utilisateur anonyme
18 mai 2008 à 21:04
reposte moi un log hijackthis
0
Utilisateur anonyme
18 mai 2008 à 21:05
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:55, on 18/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\irdvxc.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Propriétaire\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-21-1482476501-1715567821-682003330-1003\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe
0
Utilisateur anonyme
18 mai 2008 à 21:07
ta rechopper des virus refais un scan avec antivir et combofix!
0
Utilisateur anonyme
18 mai 2008 à 21:09
Ok pour antivir mais combofix je l'ai supprimé parce qu'avant le scan je recevais plus de 10 messages d'erreur
0
Utilisateur anonyme
18 mai 2008 à 21:10
ok
0
Utilisateur anonyme
18 mai 2008 à 21:16
Antivir détecte plusieurs trojan mais c'est bizarre qu'il ai laissé passer tout ça, j'ai loupé un reglage qui permettrai la protection résidente peut-être ?
0
Utilisateur anonyme
18 mai 2008 à 21:17
oui peut etre
0
Utilisateur anonyme
18 mai 2008 à 21:19
Pourtant il y a écrit "Guard : active"

Sinon ça se trouve ou le reglage stp ?
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 332
18 mai 2008 à 21:25
celui ci
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe
0
Utilisateur anonyme
18 mai 2008 à 21:43
Le virer ok mais pour l'arreter on fait comment ?
0

Discussions similaires