S'abonner :  Newsletters    Magazines
Avis sur les produits Avis sur les logiciels Avis sur les jeux Actualités A propos de 01net
1030 utilisateurs connectés
Forum de 01net / Sécurité / maudit trojan besoin de votre aide

maudit trojan besoin de votre aide

didipeuf le 07 juin 2007 à 19h37
Bonjour
J'ai de nouveau besoin de vos services je suis infecté par un trojan qui me bloque mon systeme et me desactive sans cesse mon pare feu windows.
Je l'ai attrape a la suite d'un telechargement d'un programme une fois celui-ci installe une fenetre dos c'est ouvert ça ma redamarre le pc et boum infecte
par system doctor winantivirus....etc
C'est pourquoi je sollicite votre aide svp
merci de votre retour.
eddy.
répondre
didipeuf le 07 juin 2007 à 20h01
voici mon rapport
Logfile of HijackThis v1.99.1
Scan saved at 20:00, on 2007-06-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Microsoft IntelliPoint\point32.exe
D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\internet explorer\iexplore.exe
D:\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {15DDF9E6-4C72-4AAA-BDDB-6500F3222570} - D:\WINDOWS\system32\ddaby.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {8D7E4555-1237-4DEA-BF40-1977FCA588E1} - D:\WINDOWS\system32\gebaxyy.dll
O2 - BHO: (no name) - {92A444D2-F945-4dd9-89A1-896A6C2D8D22} - D:\WINDOWS\system32\hdbojexp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] "D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IntelliPoint] "D:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Virtua Tennis 3
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "D:\WINDOWS\system32\qnfveyel.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSzed029YYFR_ZNx(...)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInsta(...)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIn(...)
O16 - DPF: {2D2BEE6E-3C9A-4D58-B9EC-458EDB28D0F6} - http://drivecleaner.com/.freeware/installdrivecleanerstart.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb(...)
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ddaby - D:\WINDOWS\system32\ddaby.dll
O20 - Winlogon Notify: gebaxyy - D:\WINDOWS\SYSTEM32\gebaxyy.dll
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrkq32 - winrkq32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPH11 - HP - D:\WINDOWS\system32\HPHipm11.exe
O23 - Service: Windows Defender (WinDefend) - Unknown owner - D:\Program Files\Windows Defender\MsMpEng.exe (file missing)

répondre
didipeuf le 10 juin 2007 à 19h24
merci beaucoup pour votre aide
voici mon rapport


SmitFraudFix v2.195

Rapport fait à 19:22:55.90, 2007-06-10
Executé à partir de D:\Documents and Settings\Corey\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Microsoft IntelliPoint\point32.exe
D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Winamp\winampa.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Program Files\internet explorer\iexplore.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS

D:\WINDOWS\Tasks\At?.job PRESENT !
D:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Corey


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Corey\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\Corey\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files

D:\Program Files\serial.zip PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2FE575B1-BF07-4752-9085-57BB5C6BD606}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2FE575B1-BF07-4752-9085-57BB5C6BD606}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2FE575B1-BF07-4752-9085-57BB5C6BD606}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

répondre
didipeuf le 11 juin 2007 à 20h34
salut voici mon rapport


06/11/07 20:31:28 [Info]: BlackLight Engine 1.0.61 initialized
06/11/07 20:31:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/11/07 20:31:28 [Note]: 7019 4
06/11/07 20:31:28 [Note]: 7005 0
06/11/07 20:32:22 [Note]: 7006 0
06/11/07 20:32:22 [Error]: 6040 32
06/11/07 20:32:22 [Error]: 6005 0
06/11/07 20:32:32 [Note]: 7007 0
répondre
naheulbeuk le 17 juin 2007 à 16h33
bonjour, en attendant le retour de küçükküçük,

Redémarre en mode sans échec (F8 lors du boot)
Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Redémarre en mode normal
Post moi le 2ème rapport !

bon dimanche ;)
-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/
répondre
didipeuf le 17 juin 2007 à 21h03
merci de votre retour
voici le rapport





SmitFraudFix v2.195

Rapport fait à 20:54:54.68, 2007-06-17
Executé à partir de D:\Documents and Settings\Corey\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

D:\WINDOWS\Tasks\At?.job supprimé
D:\Program Files\serial.zip supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2FE575B1-BF07-4752-9085-57BB5C6BD606}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2FE575B1-BF07-4752-9085-57BB5C6BD606}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2FE575B1-BF07-4752-9085-57BB5C6BD606}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

répondre
naheulbeuk le 17 juin 2007 à 22h22
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
Double-clique VundoFix.exe afin de le lancer.
Clique sur le bouton "Scan for Vundo"
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

bonne soirée ;)
-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/
répondre
didipeuf le 18 juin 2007 à 18h36
bonjour et merci beaucoup pour votre aide voici mon rapport vundofix




VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 18:18:15 2007-06-18

Listing files found while scanning....

D:\windows\system32\cuibfejo.ini
D:\WINDOWS\system32\ddaby.dll
D:\windows\system32\dxnumsvi.dll
D:\windows\system32\gebaxyy.dll
D:\windows\system32\j0281430.dll
D:\windows\system32\ojefbiuc.dll
D:\windows\system32\onfsbwst.dll
D:\windows\system32\ybadd.bak2
D:\WINDOWS\system32\ybadd.ini
D:\WINDOWS\system32\ybadd.ini2
D:\windows\system32\ybadd.tmp

Beginning removal...

Attempting to delete D:\windows\system32\cuibfejo.ini
D:\windows\system32\cuibfejo.ini Has been deleted!

Attempting to delete D:\WINDOWS\system32\ddaby.dll
D:\WINDOWS\system32\ddaby.dll Has been deleted!

Attempting to delete D:\windows\system32\dxnumsvi.dll
D:\windows\system32\dxnumsvi.dll Has been deleted!

Attempting to delete D:\windows\system32\gebaxyy.dll
D:\windows\system32\gebaxyy.dll Could not be deleted.

Attempting to delete D:\windows\system32\j0281430.dll
D:\windows\system32\j0281430.dll Has been deleted!

Attempting to delete D:\windows\system32\ojefbiuc.dll
D:\windows\system32\ojefbiuc.dll Has been deleted!

Attempting to delete D:\windows\system32\onfsbwst.dll
D:\windows\system32\onfsbwst.dll Has been deleted!

Attempting to delete D:\windows\system32\ybadd.bak2
D:\windows\system32\ybadd.bak2 Has been deleted!

Attempting to delete D:\WINDOWS\system32\ybadd.ini
D:\WINDOWS\system32\ybadd.ini Has been deleted!

Attempting to delete D:\WINDOWS\system32\ybadd.ini2
D:\WINDOWS\system32\ybadd.ini2 Has been deleted!

Attempting to delete D:\windows\system32\ybadd.tmp
D:\windows\system32\ybadd.tmp Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 18:28:14 2007-06-18

Listing files found while scanning....

D:\WINDOWS\system32\abeeg.bak1
D:\WINDOWS\system32\abeeg.ini
D:\windows\system32\gebaxyy.dll
D:\WINDOWS\system32\geeba.dll

Beginning removal...

Attempting to delete D:\WINDOWS\system32\abeeg.bak1
D:\WINDOWS\system32\abeeg.bak1 Has been deleted!

Attempting to delete D:\WINDOWS\system32\abeeg.ini
D:\WINDOWS\system32\abeeg.ini Has been deleted!

Attempting to delete D:\windows\system32\gebaxyy.dll
D:\windows\system32\gebaxyy.dll Has been deleted!

Attempting to delete D:\WINDOWS\system32\geeba.dll
D:\WINDOWS\system32\geeba.dll Has been deleted!

Performing Repairs to the registry.
Done!
répondre
didipeuf le 18 juin 2007 à 18h39
et maintenant voici mon rapport hijack this







Logfile of HijackThis v1.99.1
Scan saved at 18:39, on 2007-06-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Microsoft IntelliPoint\point32.exe
D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Logitech\Profiler\lwemon.exe
D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
D:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\wuauclt.exe
D:\DOCUME~1\Corey\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DD471B2-316F-43E4-966F-76A0CBF04718} - D:\WINDOWS\system32\dxnumsvi.dll (file missing)
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - D:\WINDOWS\system32\mjdpunqb.dll
O2 - BHO: (no name) - {75FAD7D2-2093-4565-B2DE-1FB2B7CA8BF5} - D:\WINDOWS\system32\geeba.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {8D7E4555-1237-4DEA-BF40-1977FCA588E1} - D:\WINDOWS\system32\gebaxyy.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {C2F19090-15BE-477E-B094-ECC5AF08A3D3} - D:\WINDOWS\system32\ddaby.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] "D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IntelliPoint] "D:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P] Virtua Tennis 3
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "D:\WINDOWS\system32\oswkmkuc.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Start WingMan Profiler] "D:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInsta(...)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb(...)
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrkq32 - winrkq32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPH11 - HP - D:\WINDOWS\system32\HPHipm11.exe
O23 - Service: Windows Defender (WinDefend) - Unknown owner - D:\Program Files\Windows Defender\MsMpEng.exe (file missing)


répondre
naheulbeuk le 18 juin 2007 à 20h52
bonsoir,

1/ Désinstalle par Ajout/Suppression de programmes toutes les lignes "J2SE Runtime Environment"
ensuite tu vas ici http://java.sun.com/javase/downloads/index.jsp
Clique sur le "Download" en face de "Java Runtime Environment (JRE) 6u1". Sur la page suivante, coche la case "Accept License Agreement" puis télécharge "Windows Offline Installation, Multi-language" (jre-6u1-windows-i586-p.exe, 13.16 MB) et tu l'installes.

2/ Télécharge ComboFix (créé par sUBs) sur ton Bureau

Démarre en mode sans echec


  • Double clique combofix.exe.
  • Tape sur la touche Y (Yes) pour démarrer le scan.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis

    • NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    bonne soirée :hello:
    -------
    Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
    Et son forum : http://www.site-naheulbeuk.com/forum/
    répondre
    didipeuf le 19 juin 2007 à 00h32
    salut voici mon rapport




    ComboFix 07-06-13.7 - D:\Documents and Settings\Corey\Bureau\ComboFix.exe
    "Corey" - 2007-06-19 0:25:16 - Service Pack 2 NTFS [SAFE MODE]


    (((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


    D:\WINDOWS\system32\oswkmkuc.dll
    D:\WINDOWS\system32\cukmkwso.ini


    * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


    ((((((((((((((((((((((((( Files Created from 2007-05-18 to 2007-06-18 )))))))))))))))))))))))))))))))


    2007-06-19 00:25 49,152 --a------ D:\WINDOWS\nircmd.exe
    2007-06-18 18:18 <REP> d-------- D:\VundoFix Backups
    2007-06-16 08:38 14,848 --a------ D:\WINDOWS\system32\drivers\kbdhid.sys
    2007-06-16 08:36 5,600 --a------ D:\WINDOWS\system32\drivers\WmVirHid.sys
    2007-06-16 08:36 45,504 --a------ D:\WINDOWS\system32\drivers\WmXlCore.sys
    2007-06-16 08:36 22,240 --a------ D:\WINDOWS\system32\drivers\WmFilter.sys
    2007-06-16 08:36 17,632 --a------ D:\WINDOWS\system32\drivers\WmHidLo.sys
    2007-06-16 08:36 159,744 --a------ D:\WINDOWS\system32\WmJoyFrc.dll
    2007-06-16 08:36 10,144 --a------ D:\WINDOWS\system32\drivers\WmBEnum.sys
    2007-06-16 08:36 <REP> d-------- D:\Program Files\Logitech
    2007-06-16 08:36 <REP> d-------- D:\Program Files\Fichiers communs\Logitech
    2007-06-15 07:56 62,516 --a------ D:\WINDOWS\system32\mjdpunqb.dll
    2007-06-10 19:23 2,366 --a------ D:\WINDOWS\system32\tmp.reg
    2007-06-10 19:22 53,248 --a------ D:\WINDOWS\system32\Process.exe
    2007-06-10 19:22 51,200 --a------ D:\WINDOWS\system32\dumphive.exe
    2007-06-10 19:22 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe
    2007-06-10 19:11 <REP> d-------- D:\backups
    2007-06-06 21:20 524,288 --ah----- D:\DOCUME~1\ADMINI~1\NTUSER.DAT
    2007-06-06 21:20 <REP> dr------- D:\DOCUME~1\ADMINI~1\Menu D‚marrer
    2007-06-06 21:20 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage r‚seau
    2007-06-06 21:20 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage d'impression
    2007-06-06 21:20 <REP> d--h----- D:\DOCUME~1\ADMINI~1\ModŠles
    2007-06-06 21:20 <REP> d-------- D:\DOCUME~1\ADMINI~1\Mes documents
    2007-06-06 21:20 <REP> d-------- D:\DOCUME~1\ADMINI~1\Favoris
    2007-06-06 21:20 <REP> d-------- D:\DOCUME~1\ADMINI~1\Bureau
    2007-06-06 20:55 <REP> d-------- D:\bfu
    2007-06-06 20:14 55,316 --a------ D:\WINDOWS\system32\hdbojexp.dll
    2007-06-06 17:25 420,816 --a------ D:\WINDOWS\system32\wunauclt.exe
    2007-06-05 23:47 68,888 --a------ D:\WINDOWS\system32\xinput1_3.dll
    2007-06-05 23:47 62,744 --a------ D:\WINDOWS\system32\xinput1_2.dll
    2007-06-05 23:47 3,426,072 --a------ D:\WINDOWS\system32\d3dx9_32.dll
    2007-06-05 23:47 255,848 --a------ D:\WINDOWS\system32\xactengine2_6.dll
    2007-06-05 23:47 251,672 --a------ D:\WINDOWS\system32\xactengine2_5.dll
    2007-06-05 23:47 237,848 --a------ D:\WINDOWS\system32\xactengine2_4.dll
    2007-06-05 23:47 236,824 --a------ D:\WINDOWS\system32\xactengine2_3.dll
    2007-06-05 23:47 2,414,360 --a------ D:\WINDOWS\system32\d3dx9_31.dll
    2007-06-05 23:47 15,128 --a------ D:\WINDOWS\system32\x3daudio1_1.dll
    2007-05-25 23:52 7,552 --a------ D:\WINDOWS\system32\drivers\enodpl.sys
    2007-05-25 23:52 4,736 --a------ D:\WINDOWS\system32\drivers\tandpl.sys


    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-06-18 22:14:32 -------- d--h--w D:\Program Files\InstallShield Installation Information
    2007-06-18 22:00:04 -------- d-----w D:\Program Files\eMule
    2007-06-06 16:56:20 -------- d-----w D:\Program Files\Windows Defender
    2007-05-24 17:39:25 -------- d-----w D:\Program Files\Winamp
    2007-05-22 20:42:37 -------- d-----w D:\Program Files\GIMP-2.0
    2007-05-18 20:41:57 -------- d-----w D:\Program Files\Ares
    2007-05-05 19:53:11 -------- d-----w D:\Program Files\CCleaner
    2007-05-05 08:06:22 -------- d-----w D:\Program Files\ewido anti-spyware 4.0
    2007-04-30 15:46:10 745,600 ----a-w D:\WINDOWS\system32\aswBoot.exe
    2007-04-30 15:41:55 85,952 ----a-w D:\WINDOWS\system32\drivers\aswmon.sys
    2007-04-30 15:41:42 94,552 ----a-w D:\WINDOWS\system32\drivers\aswmon2.sys
    2007-04-30 15:39:41 23,416 ----a-w D:\WINDOWS\system32\drivers\aswRdr.sys
    2007-04-30 15:38:51 43,176 ----a-w D:\WINDOWS\system32\drivers\aswTdi.sys
    2007-04-30 15:37:23 26,888 ----a-w D:\WINDOWS\system32\drivers\aavmker4.sys
    2007-04-30 15:35:28 95,872 ----a-w D:\WINDOWS\system32\AVASTSS.scr
    2007-04-23 16:12:24 -------- d-----w D:\Program Files\Fichiers communs\Pointstone
    2007-04-23 16:07:03 -------- d-----w D:\Program Files\Microsoft IntelliPoint
    2007-04-23 16:06:51 -------- d-----w D:\DOCUME~1\Corey\APPLIC~1\Pointstone
    2007-04-18 16:14:18 2,854,400 ----a-w D:\WINDOWS\system32\msi.dll
    2007-04-16 20:47:36 33,624 ----a-w D:\WINDOWS\system32\wups.dll
    2007-04-16 20:45:54 1,710,936 ----a-w D:\WINDOWS\system32\wuaueng.dll
    2007-04-16 20:45:48 549,720 ----a-w D:\WINDOWS\system32\wuapi.dll
    2007-04-16 20:45:42 325,976 ----a-w D:\WINDOWS\system32\wucltui.dll
    2007-04-16 20:45:36 203,096 ----a-w D:\WINDOWS\system32\wuweb.dll
    2007-04-16 20:45:28 92,504 ----a-w D:\WINDOWS\system32\cdm.dll
    2007-04-16 20:45:20 53,080 ----a-w D:\WINDOWS\system32\wuauclt.exe
    2007-04-16 20:45:20 43,352 ----a-w D:\WINDOWS\system32\wups2.dll
    2007-04-16 20:44:20 271,224 ----a-w D:\WINDOWS\system32\mucltui.dll
    2007-04-16 20:44:18 208,248 ----a-w D:\WINDOWS\system32\muweb.dll
    2007-03-30 20:25:45 6,712 ----a-w D:\WINDOWS\system32\d3d9caps.dat
    2007-03-25 06:12:24 48,856 ----a-w D:\WINDOWS\system32\perfc00C.dat
    2007-03-25 06:12:24 368,076 ----a-w D:\WINDOWS\system32\perfh00C.dat


    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 23:08]
    {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0}=D:\WINDOWS\system32\mjdpunqb.dll [2007-06-15 07:56]
    {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
    {AA58ED58-01DD-4d91-8333-CF10577473F7}=d:\program files\google\googletoolbar3.dll [2007-02-10 21:48]
    {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll [2007-05-27 20:24]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-03 21:10]
    "avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
    "IntelliPoint"="D:\Program Files\Microsoft IntelliPoint\point32.exe" [2004-06-03 01:50]
    "SoundMan"="SOUNDMAN.EXE" [2004-12-01 09:54 D:\WINDOWS\SOUNDMAN.EXE]
    "WinampAgent"="D:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22]
    "I downloaded pirated Software from P2P"="Virtua Tennis 3" []
    "Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
    "SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
    "MSMSGS"="D:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
    "Start WingMan Profiler"="D:\Program Files\Logitech\Profiler\lwemon.exe" [2005-04-18 11:16]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkq32]
    winrkq32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
    "D:\Program Files\D-Tools\daemon.exe" -lang 1033

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
    D:\Program Files\Winamp\winampa.exe


    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7be7cde-3c09-11da-b485-806d6172696f}]
    AutoRun\command- H:\Setup.exe


    Contents of the 'Scheduled Tasks' folder
    2007-06-18 22:28:24 D:\WINDOWS\tasks\HP Usg Daily.job
    2007-06-18 22:28:26 D:\WINDOWS\tasks\HP Usg Login.job
    2007-06-06 07:28:52 D:\WINDOWS\tasks\MP Scheduled Scan.job

    **************************************************************************

    catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-06-19 00:27:56
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    **************************************************************************

    Completion time: 2007-06-19 0:29:18 - machine was rebooted
    D:\ComboFix-quarantined-files.txt ... 2007-06-19 00:28

    --- E O F ---









    répondre
    naheulbeuk le 19 juin 2007 à 13h29
    bonjour,

    1/ Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :


    REGEDIT4

    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkq32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "I downloaded pirated Software from P2P"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
    "{5ADF3862-9E2E-4ad3-86F7-4510E6550CD0}"=-


    -Enregistrer ce fichier dans : Bureau
    -Nom du fichier : fix.reg
    -Type : tous les fichiers !!!
    -cliquer sur Enregistrer
    -quitter le Bloc Notes

    Utilisation du fichier: fix.reg
    - double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.

    2/ redémarre le pc

    3/ repost moi un nouveau rapport hijackthis stp ;)
    -------
    Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
    Et son forum : http://www.site-naheulbeuk.com/forum/
    répondre
    didipeuf le 22 juin 2007 à 15h43
    bonjour et merci enormement pour votre aide voici mon raport




    Logfile of HijackThis v1.99.1
    Scan saved at 15:43:42, on 22/06/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\Program Files\Microsoft IntelliPoint\point32.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Winamp\winampa.exe
    D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\Logitech\Profiler\lwemon.exe
    D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    D:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\internet explorer\iexplore.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\DOCUME~1\Corey\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {4DD471B2-316F-43E4-966F-76A0CBF04718} - (no file)
    O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - D:\WINDOWS\system32\mjdpunqb.dll
    O2 - BHO: (no name) - {75FAD7D2-2093-4565-B2DE-1FB2B7CA8BF5} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: (no name) - {C2F19090-15BE-477E-B094-ECC5AF08A3D3} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [ATIPTA] "D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [IntelliPoint] "D:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Start WingMan Profiler] "D:\Program Files\Logitech\Profiler\lwemon.exe" /noui
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O15 - Trusted Zone: http://locator.cdn.imageservr.com
    O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInsta(...)
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb(...)
    O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Program Files\Ares\chatServer.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Pml Driver HPH11 - HP - D:\WINDOWS\system32\HPHipm11.exe
    O23 - Service: Windows Defender (WinDefend) - Unknown owner - D:\Program Files\Windows Defender\MsMpEng.exe (file missing)



    répondre
    naheulbeuk le 22 juin 2007 à 17h46
    bonjour, :)

    Avast! est loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations : http://forum.malekal.com/ftopic3123.php

    Mais clairement, Antivir est beaucoup plus performant, c'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast! et installer Antivir à la place : http://www.malekal.com/tutorial_antivir.php
    Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.

    ensuite :

    fais ceci dans l'ordre et en entier :

    Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

    1/ relance hijackthis et coche les cases devant ces lignes (si présentes) :

    O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - D:\WINDOWS\system32\mjdpunqb.dll
    O15 - Trusted Zone: http://locator.cdn.imageservr.com
    O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.downloadcontrol.com/files/installers/cab/SystemDoctor2006FreeInsta(.. .)
    O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab


    Puis ferme toutes les autres fenêtres autres que hijackthis et clic sur "fix checked"

    2/ ferme hijackthis

    3/ Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

  • Double-clique sur OTMoveIt.exe pour le lancer.
  • Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
  • Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

    • D:\WINDOWS\system32\mjdpunqb.dll
    D:\VundoFix Backups\


  • Clique sur MoveIt! pour lancer la suppression.
  • Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
  • Redémarre ton PC

  • Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

    • bonne fin d'après midi :hello:
    -------
    Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
    Et son forum : http://www.site-naheulbeuk.com/forum/
    répondre
    didipeuf le 22 juin 2007 à 20h25
    bonjour voici mon rapport



    DllUnregisterServer procedure not found in D:\WINDOWS\system32\mjdpunqb.dll
    D:\WINDOWS\system32\mjdpunqb.dll NOT unregistered.
    D:\WINDOWS\system32\mjdpunqb.dll moved successfully.
    D:\VundoFix Backups moved successfully.

    Created on 06/22/2007 20:24:27



    merci pour le conseil sur l'antivirus
    répondre
    naheulbeuk le 22 juin 2007 à 20h34
    bonsoir,

    1/ supprime ce dossier : C:\_OTMoveIt\ puis vide ta corbeille

    2/ Télécharge ATF Cleaner by Atribune sur ton bureau.

    son tuto : http://mickael.barroux.free.fr/securite/tutoatfcleaner.php

    Lance ATF-Cleaner : Double-clique sur ATF-Cleaner.exe
    Coche ceci :

    Windows Temp
    Current User Temp
    All Users Temp
    Cookies
    Temporary Internet Files
    Prefetch
    Java Cache
    Recycle Bin


    Clique sur Empty Selected et au message "Done Cleaning" sur Ok

    3/ Télécharge la version d'essai d'AVG Anti-Spyware 7.5 ici :

    http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches(...)

    et installe-le.

    Son tuto : http://mickael.barroux.free.fr/securite/tuto_AVG_AS.php

    - Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

    - Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres
    - Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)
    - Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.
    ---> Le scan démarre.

    A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.
    Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.
    Post moi ensuite ce rapport dans ton prochain message !

    bonne soirée :hello:
    -------
    Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
    Et son forum : http://www.site-naheulbeuk.com/forum/
    répondre
    didipeuf le 24 juin 2007 à 21h44
    salut voici mon rapport


    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 21:39:56 24/06/2007

    + Résultat de l'analyse:



    D:\WINDOWS\Downloaded Program Files\CONFLICT.1\USDR6V_0001_D18M3107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Ignoré.
    D:\WINDOWS\Downloaded Program Files\CONFLICT.3\USDR6V_0001_D18M3107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Ignoré.
    D:\WINDOWS\Downloaded Program Files\CONFLICT.4\USDR6V_0001_D18M3107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Ignoré.
    D:\WINDOWS\Downloaded Program Files\CONFLICT.5\USDR6V_0001_D18M3107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Ignoré.
    D:\WINDOWS\Downloaded Program Files\CONFLICT.7\USDR6V_0001_D18M3107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Ignoré.
    D:\WINDOWS\Downloaded Program Files\CONFLICT.9\USDR6V_0001_D18M3107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.l : Ignoré.
    D:\WINDOWS\Downloaded Program Files\CONFLICT.2\UDC6_0001_D19M1908NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.m : Ignoré.
    D:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Ignoré.
    D:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Ignoré.
    D:\WINDOWS\Downloaded Program Files\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Ignoré.
    D:\Documents and Settings\Corey\Cookies\corey@2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@overture[2].txt -> TrackingCookie.Overture : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@questionmarket[2].txt -> TrackingCookie.Questionmarket : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
    D:\Documents and Settings\Corey\Cookies\corey@zedo[1].txt -> TrackingCookie.Zedo : Nettoyé.


    Fin du rapport





    répondre
    naheulbeuk le 24 juin 2007 à 22h29
    Fais un scan BitDefender en ligne (avec Internet Explorer pas avec Firefox !)
    (clique à gauche sur scan online).
    et post moi le rapport de ce scan ici une fois terminé !

    bonne soirée ;)
    -------
    Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
    Et son forum : http://www.site-naheulbeuk.com/forum/
    répondre


    PRODUITS

    TÉLÉCHARGER - LOGICIELS

    JEUX VIDÉOS

    LOISIRS

    01NET PRO

    AVIS ET COMMENTAIRES

    A PROPOS DE 01NET

    Forum de 01net / Sécurité / maudit trojan besoin de votre aide
    publicité
    > ChanceRoom
    Découvrez la nouvelle Poker Room montante.

    Service 01net
    Newsletters 01net
    abonnez vous gratuitement !
    Actus
    Voir le dernier numéro
    Entreprise
    Voir le dernier numéro
      
    01Informatique
    01 INFORMATIQUE
    L'hebdo de référence des décideurs informatiques.
    Micro Hebdo
    MICRO HEBDO
    L'hebdo qui vous simplifie la micro
    et Internet.
    L'Ordinateur Individuel
    L'ORDINATEUR INDIVIDUEL
    Le mensuel informatique qui vous informe et vous conseille.
    Nous contacter  |  Charte de confiance  |  Voir notice légale

    01net.  -  01men  -  RMC  -  BFM Radio  -  BFM TV  -  TousLesPodcasts  -  01informatique.fr  -  Association RMC-BFM
    Tous droits réservés © 1999 - 2009 Internext - 01net.