Win32:Trojan-gen. {Other} suite...

Résolu/Fermé
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008 - 2 août 2008 à 18:11
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008 - 26 nov. 2008 à 11:54
Bonjour,

je post un nouveau topic,
c'est la suite de ce topic la ----> http://www.commentcamarche.net/forum/affich 7520588 virus win32 trojan gen other

si quelqun peut m'aider
ca serait vraiment bien !

merci d'avance :)

55 réponses

ludsfa Messages postés 1284 Date d'inscription dimanche 3 février 2008 Statut Membre Dernière intervention 15 janvier 2018 15
2 août 2008 à 20:31
salut,



sélectionne l'intégralité du texte en gras ci-dessous:







file::
C:\WINDOWS\system32\ylroxhk.dll
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\dllcache\ieapfltr.dll
C:\WINDOWS\system32\dllcache\iertutil.dll
C:\WINDOWS\system32\dllcache\icardie.dll
C:\WINDOWS\system32\dllcache\ieudinit.exe
C:\WINDOWS\system32\dllcache\scrobj.dll
C:\WINDOWS\system32\dllcache\scrrun.dll
C:\WINDOWS\system32\ActiveSkin.ocx
C:\UNWISE.EXE
C:\WINDOWS\ActiveSkin.INI
C:\WINDOWS\system32\dllcache\tcpip6.sys
C:\WINDOWS\system32\dllcache\dnsapi.dll

folder::
C:\Documents and Settings\NetworkService\Application Data\vjaohzxm
C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm
C:\Documents and Settings\Administrateur\ModŠles
C:\Program Files\RamBoost XP
C:\Documents and Settings\NetworkService\Application Data\vjaohzxm

registry::
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{957C849E-DA93-42F4-948B-E7E20208E0D6}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RamBoostXp"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winbf72.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wintx58.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winva71.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winyd48.sys]
@="Driver"

driver::
tcpip.sys
afd.sys
tcpip6.sys
bthport.sys





* Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
* Enregistre le sous sur ton bureau sous le nom de CFScript.txt
* Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

http://i266.photobucket.com/albums/ii277/sUBs_/CFScript.gif

* Cela va relancer Combofix.

à la fin du scan un rapport va être créer envois le moi.
0
re kerberos,

ta essayé ce que jté filé sur l'autre post? essaye toujours on sait jamais:

http://www.downloads.subratam.org/VX2Finder.exe
0
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008
2 août 2008 à 20:37
salut

apparement on a reglé le probleme avec destrio5

allez voir ce post si vous voulez

http://www.commentcamarche.net/forum/affich 7520588 virus win32 trojan gen other?page=3#47
0
teste toujours mais pourquoi tu poste un new topic alors?
0
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008
2 août 2008 à 20:44
si tu avais lu un peu mieux mon premier topic tu ne poserais même pas la question. :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
au passage si tu veux analyser toi meme tes hijackthis:

https://www.zebulon.fr/telechargements/securite/systeme/zeb-help-process.html
0
ludsfa Messages postés 1284 Date d'inscription dimanche 3 février 2008 Statut Membre Dernière intervention 15 janvier 2018 15
2 août 2008 à 20:41
re,



ok alors j'édite le post ou pas?
0
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008
2 août 2008 à 20:45
bun je sais pas encore.

si tout est ok je passerai moi même le post en résolu.
0
ludsfa Messages postés 1284 Date d'inscription dimanche 3 février 2008 Statut Membre Dernière intervention 15 janvier 2018 15
2 août 2008 à 20:47
non je veux dire le script combofix que je t'est fait car il présente pas mal de trojan.
0
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008
2 août 2008 à 20:48
ha pardon !

bun oui dans la mesure ou c'etait le premier rapport

beaucoup d'entre eux ont été supprimé il me semble
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
2 août 2008 à 20:49
Salut ludsfa,

ton script ne va pas vraiment fonctionner comme ca, il y a quelques erreures...

@+
0
ludsfa Messages postés 1284 Date d'inscription dimanche 3 février 2008 Statut Membre Dernière intervention 15 janvier 2018 15
2 août 2008 à 20:51
salut,



je pense que je vais l'éditer.

apparemment il à réglé le problème.
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
2 août 2008 à 20:53
tu peux plus l éditer, demande avant de lancer des cripts comme ça si tu n´est pas sur ;)
@+
0
ludsfa Messages postés 1284 Date d'inscription dimanche 3 février 2008 Statut Membre Dernière intervention 15 janvier 2018 15
2 août 2008 à 20:55
re,


le script fonctionne.
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
2 août 2008 à 21:14
il y a des erreures, puis tu vires ramboost xp qui est legitime...
0
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008
2 août 2008 à 22:48
voila le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:15, on 02/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolb­arNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
End of file - 7530 bytes
0
tu peux cocher ces lignes et c reglé:

O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
0
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008
2 août 2008 à 22:54
salut
déjà fais plusieurs fois...
elles restent . . . :/
0
de tout facon le fichier est absent donc logiquement tu n'es plus infecté
0
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008
2 août 2008 à 22:57
okok
aprés,le fait que les MAJ auto windows ne fonctionne plus (elles sont activés mais refuse de s'installer) a t'il un rapport avec mon infection ? :)
0
ca depend si ta license est valide ou pas
0
au pire tu peux toujours essayer ca:

http://telechargement.zebulon.fr/zeb-restore.html
0
K3RB3ROS Messages postés 65 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 27 novembre 2008
2 août 2008 à 23:00
lool !!

oui oui elle l'est :)
0