Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Infection Win7upd.exe et hekoufyh.exe

 

SECURITE : bernard53 et 96 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
 Mot :  Pseudo :  
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Infection Win7upd.exe et hekoufyh.exe

Prévenir les modérateurs en cas d'abus 
willow13400
  1. Posté le 26/12/2009 à 12:14:45  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour a tous

 :pleure:

 Ces deux process Win7upd.exe et hekoufyh.exe sont present sur ma machine.

 le premier win7upd me perturbe la connexion mais je peux killer la tache et la connexion redevient stable bien que tres ralentie.

 le second hekoufyh est resistant, ctrl.alt.suppr n'y peut rien sauf peut etre en mode sans echec et quand il est present la connexion est active mais impossible d utiliser IE ou live messenger. en revanche thunderbird ou outlook se connectent bien.

 j ai verifier une evenntuelle redirection dans system32/drivers/etc/hosts mais c est clean

 trois antivirus different me detectent et corrigent des chevaux de troie mais n eliminent pas mes deux meilleurs-ennemis du moment

 mon  firewall me dit que win7upd garde une connexion active sur une IP que je n arrive pas a traceroute.

 si qqun a ce soucis et surtout un semblant de solution je suis preneur.

 a oui j ai format C: mais tres vite revenu sans que je sois aller surfer quelque part. juste mes installations de pilotes MSI, sp3 xp, ie8 xp et un antivirus.

house9
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 26/12/2009 à 12:25:19  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjours,

 Téléchargez la dernière version d'HiJackThis à cette adresse.
 Allez dans le répertoire dans lequel vous avez sauvé le fichier, renommez le (par exemple : "cocker" ) puis :

 * Pour Windows XP : double-cliquez sur le fichier pour l'exécuter.
 * Pour Windows Vista et Windows 7 : faites un clic droit sur le fichier puis cliquez sur Exécuter en tant qu'administrateur.
 Cliquez ensuite sur Exécuter.

 Puis, le contrat de licence apparait. Cliquez alors sur I Accept.
 Ensuite, cliquez sur Do a system scan and save a log file.
 Une fois le scan terminé, le fichier log dénommé hijackthis.log s'ouvre automatiquement dans le bloc-notes de Windows. Sélectionnez l'ensemble du texte (Ctrl+A), copiez le (Ctrl+C) puis postez le sur le forum en le collant (Ctrl+V).

(Publicité)
willow13400
  1. Posté le 26/12/2009 à 14:29:08  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 13:24:39, on 26/12/2009
 Platform: Windows XP SP3 (WinNT 5.01.2600)
 MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
 Boot mode: Normal

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\csrss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\nvsvc32.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\spoolsv.ex​e
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\ZSSnp211.exe
 C:\WINDOWS\Domino.exe
 C:\WINDOWS\RTHDCPL.EXE
 C:\Program Files\Java\jre6\bin\jusched.ex​e
 C:\WINDOWS\system32\hekoufyh.e​xe
 C:\Program Files\Java\jre6\bin\jqs.exe
 C:\WINDOWS\mshost.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\system32\CNAB4RPK.E​XE
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\alg.exe
 C:\Documents and Settings\monpc\Bureau\merdouil​le.exe (hijackthis renommé)
 C:\WINDOWS\system32\wbem\wmipr​vse.exe

 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Search Bar = http://www.google.fr/ie
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://www.google.fr
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.google.fr/
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Search,SearchAssistan​t = http://www.google.fr/ie
 R1 - HKCU\Software\Microsoft\Intern​et Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Toolbar,LinksFolderNa​me = Liens
 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\u​serinit.exe,C:\WINDOWS\system3​2\sdra64.exe,
 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578​C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\​AcroIEHelperShim.dll
 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988​571CECB} - (no file)
 O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-51647​60863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C​1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
 O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE​594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs​\ie\jqs_plugin.dll
 O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
 O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.d​ll,NvTaskbarInit
 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,​NvStartup
 O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
 O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
 O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
 O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.ex​e"
 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
 O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM​.exe"
 O4 - HKLM\..\Run: [pouhu] C:\WINDOWS\system32\hekoufyh.e​xe
 O4 - HKLM\..\Run: [mshost] C:\WINDOWS\mshost.exe
 O4 - HKLM\..\Run: [BkavFw] C:\Program Files\Bkav2006\Bkav2006.exe TASKBAR
 O4 - HKLM\..\Run: [lsass] C:\WINDOWS\system\1sass.exe
 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
 O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
 O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetu​b.dll" "%SystemRoot%\System32\syssetu​p.dll" (User 'SERVICE LOCAL')
 O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd​.exe (User 'SERVICE LOCAL')
 O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
 O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
 O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E​0DC46EF} - http://fichiers.touslesdrivers [...] _0_1_3.cab
 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF​37916A7} - http://platformdl.adobe.com/NO [...] 1.6/gp.cab
 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
 O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
 O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.ex​e
 O23 - Service: Winferno Subscription Service (yioita74ywmyw) - Unknown owner - C:\WINDOWS\system32\pinnonouju​.exe

 --
 End of file - 5296 bytes

house9
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 26/12/2009 à 15:42:02  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Re,

 Supprimez ces lignes dans hijackthis :
 -> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\u​serinit.exe,C:\WINDOWS\system3​2\sdra64.exe,
 -> O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988​571CECB} - (no file)
 -> O4 - HKLM\..\Run: [pouhu] C:\WINDOWS\system32\hekoufyh.e​xe
 -> O4 - HKLM\..\Run: [mshost] C:\WINDOWS\mshost.exe
 -> O4 - HKLM\..\Run: [lsass] C:\WINDOWS\system\1sass.exe *
 -> O23 - Service: Winferno Subscription Service (yioita74ywmyw) - Unknown owner - C:\WINDOWS\system32\pinnonouju​.exe

 Les lignes ci dessus sont des infections.

 Les lignes ci dessous montrent que votre windows xp est une version modifiée, piratée de windows xp sp3.

 -> O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
 -> O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetu​b.dll" "%SystemRoot%\System32\syssetu​p.dll" (User 'SERVICE LOCAL')
 -> O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd​.exe (User 'SERVICE LOCAL')
 -> O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
 -> O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
 O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

 Je vous conseille de formater votre pc et d'installer cette fois ci une version original de windows. Une version modifié est dit allégé. Ce n'est cependant pas toujours le cas, de plus ils sont plus vulnérable aux infections.

 Si vous ne souhaitez pas le faire, téléchargez malwarebyte's, puis lancez une analyse complète de votre pc. A la fin, un rapport apparaitra, copiez-collez le svp.

 Dites moi ce que vous souhaitez faire svp.

willow13400
  1. Posté le 26/12/2009 à 16:05:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
merci de votre reponse rapide,

 j ai effectue le fix de hijackthis sur les lignes preconisées.

 deux lignes recurentes restent.

 -> O23 - Service: Winferno Subscription Service (yioita74ywmyw) - Unknown owner - C:\WINDOWS\system32\pinnonouju​.exe

 et

 -> F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\u​serinit.exe,C:\WINDOWS\system3​2\sdra64.exe

 biensur je suis sur une version optimisee de XP pro mais non allegee en revenche j ai besoin de conseil sur l'OS la plus adaptee pour exploiter mon processeur athlon 64 5200+ avant de proceder a son achat.

 L installation de malewarebytes est rendue impossible, quelque soit le mirroir de telechargement, le pc  replique mon fichier setup est corrompu.

(Publicité)
Profil : Equipe sécurité
totoftotof
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 26/12/2009 à 17:12:54  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
bonjour

 aucune aide pour windows piraté

 donc soit si c'est un ordi de marque vous réinstallez le système d'origine avec la partition de restauration d'usine ou soit vous achetez une version légale de windows xp pro sp3 oem : http://www.materiel.net/ctl/OS [...] _oem_.html

 Page :
1

Aller à :
 

Sujets relatifs
Infection Win32.Banker.fgv win7upd.exe Quoi qu'est-ce ? ? ?
infection winspykiller [Résolu] Infection par win32.rungbu.a
Inféction par bagle Infection de mon pc par trojan 3n8awsyg
Infection par Win32:Zlob-ZD[Trj] Infection, programmes supect au démarrage HELP !
infection par w32 myzor f@yf infection pc
Plus de sujets relatifs à : Infection Win7upd.exe et hekoufyh.exe

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
PC qui ram de plus en plus 19
problème extinction 0
Probleme de blocage de mon pc apres quelques secondes 4
Infection Win32 : Mabezat [Wrm] et Mabezat-AM [Tri] 11
pubs intempestives [résolu] 8