Flux rss
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Non résolu

Trojan conhook.L

Marie, le samedi 15 avril 2006 à 11:53:54
Bonjour chers informaticiens!

Je vous apelle à l'aider... J'ai été infectée par plusieurs virus ou trojans, et je n'arrive pas à les supprimer, même après avoir essayé de suivre vos conseils dans les sujets simillaires...
Alors donc pour vous aider, je vous met mon scan en copier coller c dessous.
Pour info : j'ai win XP familial, kerio firewall et antivir. J'ai installé ad aware se, spybot (qui me trouve des traceurs (2))

Logfile of HijackThis v1.99.1
Scan saved at 11:53:12, on 15/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\WinAce\WinAce.exe
C:\DOCUME~1\MARIEB~1\LOCALS~1\Temp\~AceTemp\hijackthis_199\H­ijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [eMusicClient] C:\Program Files\Winamp\eMusic\eMusicClient.exe
O4 - HKLM\..\Run: [Windows USB controler] winusb.exe
O4 - HKLM\..\Run: [grgr] "C:\WINDOWS\win.dll.exe "
O4 - HKLM\..\Run: [kjllfd] C:\WINDOWS\System32\qwaszxf\kolder.exe C:\WINDOWS\System32\qwaszxf\dirote.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows USB controler] winusb.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [kjllfd] C:\WINDOWS\System32\qwaszxf\kolder.exe C:\WINDOWS\System32\qwaszxf\dirote.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\RunServices: [Windows USB controler] winusb.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/...
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: sstqr - sstqr.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe






et voici pour bitdefender :
BitDefender Online Scanner



Rapport d'analyse généré à: Thu, Apr 13, 2006 - 13:35:44





Voie d'analyse: C:\;D:\;







Statistiques

Temps
01:05:53

Fichiers
224475

Directoires
2114

Secteurs de boot
2

Archives
6407

Paquets programmes
28654




Résultats

Virus identifiés
7

Fichiers infectés
8

Fichiers suspects
1

Avertissements
0

Désinfectés
0

Fichiers effacés
9




Info sur les moteurs

Définition virus
369673

Version des moteurs
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Analyse des plugins
13

Archive des plugins
39

Unpack des plugins
4

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Infecté par: Trojan.Bat.Secdrop.FW

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Infecté par: Trojan.WinREG.LowZones.A

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\WINDOWS\blank.html
Infecté par: Trojan.HE.Flys.B

C:\WINDOWS\blank.html
Echec de la désinfection

C:\WINDOWS\blank.html
Supprimé

C:\WINDOWS\mscommx.exe
Suspecté de: Generic.Malware.SY.5013DDCA

C:\WINDOWS\mscommx.exe
Echec de la désinfection

C:\WINDOWS\mscommx.exe
Supprimé

C:\WINDOWS\mtu.bat
Infecté par: Trojan.Bat.Secdrop.FW

C:\WINDOWS\mtu.bat
Echec de la désinfection

C:\WINDOWS\mtu.bat
Supprimé

C:\WINDOWS\system32\lki.txt
Infecté par: Backdoor.BotGet.FtpB.Gen

C:\WINDOWS\system32\lki.txt
Supprimé

C:\WINDOWS\system32\qwaszxf\demo.xt
Infecté par: IRC.Worm.Randon.AX

C:\WINDOWS\system32\qwaszxf\demo.xt
Echec de la désinfection

C:\WINDOWS\system32\qwaszxf\demo.xt
Supprimé

C:\WINDOWS\system32\qwaszxf\kolder.exe
Infecté par: Virtool.HiddenRun.B

C:\WINDOWS\system32\qwaszxf\kolder.exe
Echec de la désinfection

C:\WINDOWS\system32\qwaszxf\kolder.exe
Supprimé

C:\WINDOWS\system32\svc.exe
Infecté par: Trojan.Proxy.Bobax.C

C:\WINDOWS\system32\svc.exe
Echec de la désinfection

C:\WINDOWS\system32\svc.exe
Supprimé




Pourriez vous me donner des conseils pour m'en sortir svp?
A bientôt,

Marie
Répondre à Marie  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
bernie61, le samedi 15 avril 2006 à 12:04:44
hello
0. Installe ce nettoyeur CCLEANER http://www.ccleaner.com/ ou lien direct là http://www.filehippo.com/download_ccleaner.html (la flèche)
Tutorial là http://www.vulgarisation-informatique.com/nettoyer-windows-c­cleaner.php
ensuite
*Configure ton ordi pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :
Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher
- masquer fichiers protégés du dossier système
Puis cliquer APPLIQUER à TOUS les Dossiers

2. Relances Hijackthis et coche (puis FIX)
O1 - Hosts: 62.81.237.170 auto.search.msn.com
O1 - Hosts: 62.81.237.170 beta.search.msn.com
O4 - HKLM\..\Run: [Windows USB controler] winusb.exe
O4 - HKLM\..\Run: [grgr] "C:\WINDOWS\win.dll.exe "
O4 - HKLM\..\Run: [kjllfd] C:\WINDOWS\System32\qwaszxf\kolder.exe C:\WINDOWS\System32\qwaszxf\dirote.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [Windows USB controler] winusb.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\Run: [kjllfd] C:\WINDOWS\System32\qwaszxf\kolder.exe C:\WINDOWS\System32\qwaszxf\dirote.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKCU\..\RunServices: [Windows USB controler] winusb.exe
O20 - Winlogon Notify: sstqr - sstqr.dll (file missing)

3. Effacer ces programmes .EXE et .DLL( et à la fin vider la corbeille)
C:…. winusb.exe
C:\WINDOWS\win.dll.exe "
C:\WINDOWS\System32\qwaszxf\ >> le répertoire
C:… msnq3insller.exe
C:\UNMT.EXE

5. vider les répertoires temps et la corbeille, en lançant Ccleaner
Refais un hijackthis de contrôle et dis nous où en sont les problèmes

a+
   
Répondre à bernie61

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
bernie61, le samedi 15 avril 2006 à 12:06:02
re
après tout cela applique la procédure L2MFIX
http://users.skynet.be/BernieClub/index.html#l2mfix

a+
   
Répondre à bernie61

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
mARIE, le samedi 15 avril 2006 à 13:56:43
Merci...

J'ai un peu galéré, et je n'ai pas trouvé certains fichiers dont tu me parlais (je n'ai trouvé que le répertoire : qwaszfx que j'ai supprimé) et je n'ai pas effectué la derniere procédure indiquée par Bernie, en attendant de savoir si il n'y a pas des choses a faire avant...

voici mes resultats :

Logfile of HijackThis v1.99.1
Scan saved at 13:52:19, on 15/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinAce\WinAce.exe
C:\DOCUME~1\MARIEB~1\LOCALS~1\Temp\~AceTemp\hijackthis_199\H­ijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [mode] D:\NBDriver.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [eMusicClient] C:\Program Files\Winamp\eMusic\eMusicClient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -

%windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -

{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -

http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/...
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH -

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH -

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program

Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe



antivir trouve toujours conhook...
que faire?

Merci pour votre aide!

Marie
   
Répondre à mARIE

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
bernie61, le samedi 15 avril 2006 à 16:45:54
re
passes Ewido pour nettoyer ce trojan
http://users.skynet.be/BernieClub/index.html#antitrojan

a+
   
Répondre à bernie61

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
did71, le samedi 15 avril 2006 à 22:29:41
bonsoir,

si tu permets bernie,

bizarre ce conhook (virtu monde) ajoute une ligne 02 et 020 dans le rapport hijackthis!

et là, aucune trace!

Pour essayer de faire avancer la chose,

Télécharge VundoFix.exe (par Atribune) sur ton Bureau:

http://www.atribune.org/public-beta/VundoFix.exe

* Double-clique VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

a+
   
Répondre à did71

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Marie, le mercredi 19 avril 2006 à 11:39:53
Salut!

Et bien j'ai toujours quelques soucis...
J'ai bien suivi vos conseils, je pensais avoir résolu les pb mais finalement non... J'ai passé Ewido, il me trouve plein de choses (plus bas le résultat) et j'ai aussi passé vundo fix mais qui ne trouve pas de fichiers infectés... Antivir me le (conhook) signale toujours... mais visiblement j'ai d'autres malware aussi.


Voici pour commencer mon nouveau rapport HijackThis :
Logfile of HijackThis v1.99.1
Scan saved at 11:43:37, on 19/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\DOCUME~1\MARIEB~1\LOCALS~1\Temp\~AceTemp\hijackthis_199\H­ijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eresmas.com/i2r/login2?to=www.wanadoo.es&nack=www.wanadoo.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/...
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe



et le résultat Ewido :
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 11:42:49, 19/04/2006
+ Somme de contrôle: 5332591E

+ Résultats du scan:

HKU\S-1-5-21-820705851-2023731251-1940587857-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441} -> Downloader.ConHook.l : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@adtech[2].txt -> TrackingCookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@doubleclick[2].txt -> TrackingCookie.Doubleclick : Nettoyer sans sauvegarder
C:\Documents and Settings\Marie BOUILLEAU\Cookies\marie bouilleau@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer sans sauvegarder
C:\WINDOWS\system32\TFTP3840 -> Backdoor.Rbot : Nettoyer sans sauvegarder
C:\wuactld.exe -> Adware.MediaTickets : Nettoyer sans sauvegarder


::Fin du rapport


Merci pour votre aide, et bonne journée!

A+Marie.
   
Répondre à Marie

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Regis59, le mercredi 19 avril 2006 à 13:55:59
Salut,

Antivir doit vous donner l endroit ou il se situe, pouvez vous nous l indiquer?

Merci
A+
   
Répondre à Regis59

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Marie, le mercredi 19 avril 2006 à 15:43:02
Alors...
Après scan d'antivir voici le résultat :


Report file date: mercredi 19 avril 2006 14:53


Jobname: 'Local Drives'

Scanning for 361505 virus strains and unwanted programs.

Licensed to: AntiVir PersonalEdition Classic
Serial number: 0000149996-WURGE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Marie BOUILLEAU
Computer name: MARIE

Version informations:
AVSCAN.EXE : 7.0.0.30 536616 21/03/2006 13:48:28
AVSCAN.DLL : 7.0.0.30 40488 21/03/2006 13:48:28
LUKE.DLL : 7.0.0.30 114728 21/03/2006 13:48:28
LUKERES.DLL : 7.0.0.30 25600 21/03/2006 13:48:28
ANTIVIR0.VDF : 6.32.0.60 4323840 27/03/2006 09:11:45
ANTIVIR1.VDF : 6.34.0.105 1669120 11/04/2006 14:19:05
ANTIVIR2.VDF : 6.34.0.185 223744 15/04/2006 10:07:11
ANTIVIR3.VDF : 6.34.0.202 51200 19/04/2006 10:25:36
AVEWIN32.DLL : 7.0.0.7 1171968 11/04/2006 14:19:06
AVPREF.DLL : 6.34.0.0 38440 18/01/2006 12:06:00
AVREP.DLL : 6.34.0.200 2342952 19/04/2006 10:25:36
AVPACK32.DLL : 6.33.0.6 331816 09/01/2006 09:03:37
AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36
NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49
NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:49


Start of the scan: mercredi 19 avril 2006 14:53


Start scanning boot sectors:

Boot sector 'C:'
[NOTE] No virus was found!

Starting to scan the registry.

The registry was scanned ( 16 files ).


Starting the file scan:

C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DF126C.tmp
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DF6CB.tmp
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DF8455.tmp
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DF87D8.tmp
[WARNING] The file could not be opened!
C:\Documents and Settings\Marie BOUILLEAU\Local Settings\Temp\~DFBE80.tmp
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\NTUSER.DAT
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\ntuser.dat.LOG
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat
[WARNING] The file could not be opened!
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\SoftwareDistribution\EventCache\{6A59654B-CC17-4E­B6-B158-A38371D6AAA5}.bin
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\default.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SAM.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\software.LOG
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system
[WARNING] The file could not be opened!
C:\WINDOWS\system32\config\system.LOG
[WARNING] The file could not be opened!
The path D:\ could not be found!
Le périphérique n'est pas prêt.



End of the scan: mercredi 19 avril 2006 15:41
Used time: 47:40 min

The scan has been done completely.

2077 Scanning directories
143508 Files were scanned
0 viruses and/or unwanted programs was found
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
6126 Archives were scanned
60 Warnings
0 Notes



Mais il me detecte conhook seulement par message m'avertissant de temps en temps... là depuis ce matin il ne l'a pas refait...

Que faire du coup?

Marie
   
Répondre à Marie

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Regis59, le mercredi 19 avril 2006 à 16:16:40
Coucou Marie,

Pour l instant attendre qu il y ai une nouvelle alerte.
Cependant si tu veux te rassurer, tu peux faire ceci:

Lance ce scan en ligne:
http://www.bitdefender.fr/scan8/ie.html
Copie/colle le rapport

a+
:-)
   
Répondre à Regis59

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Marie, le mercredi 19 avril 2006 à 20:09:42
Coucou!

Voici donc le rapport... pas terrible d'ailleurs!!!

BitDefender Online Scanner



Rapport d'analyse généré à: Wed, Apr 19, 2006 - 20:10:03





Voie d'analyse: C:\;D:\;







Statistiques

Temps
01:17:30

Fichiers
221791

Directoires
2135

Secteurs de boot
2

Archives
6413

Paquets programmes
28040




Résultats

Virus identifiés
4

Fichiers infectés
5

Fichiers suspects
1

Avertissements
0

Désinfectés
0

Fichiers effacés
6




Info sur les moteurs

Définition virus
370624

Version des moteurs
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Analyse des plugins
13

Archive des plugins
39

Unpack des plugins
4

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\R­P143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Infecté par: Trojan.Bat.Secdrop.FW

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>mtu.bat
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Infecté par: Trojan.WinREG.LowZones.A

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)=>re11.REG
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP143\A0057196.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057760.exe
Suspecté de: Generic.Malware.SY.5013DDCA

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057760.exe
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057760.exe
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057761.bat
Infecté par: Trojan.Bat.Secdrop.FW

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057761.bat
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057761.bat
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057762.exe
Infecté par: Virtool.HiddenRun.B

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057762.exe
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057762.exe
Supprimé

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057763.exe
Infecté par: Trojan.Proxy.Bobax.C

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057763.exe
Echec de la désinfection

C:\System Volume Information\_restore{F3C60CEB-D572-499F-BAE1-46969B3D0901}\RP147\A0057763.exe
Supprimé


A toute',

Marie.
   
Répondre à Marie

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 Regis59, le mercredi 19 avril 2006 à 21:36:59
coucou

Ils etaient tous inactifs dans ta restauration systeme mais c est toujours bon de les supprimer definitivement.

Dis moi ou en sont tes soucis?

a+
   
Répondre à Regis59
Posez votre question Répondre

Résultats pour Trojan conhook.L

Trojan Conhook.Y (Résolu) jai moi aussi un problème avec un trojan conhook.Y .. bitdefender l'a trouver mais ne peu rien faire .... voici mes logs ... de mon hijack Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 00:43:33, on 2007-09-26 Platform: Windows XP... www.commentcamarche.net/forum/affich-3657120-trojan-conhook-y
[Trojan] Conhook-v qui me tient tête (Résolu) Bonjour, On va bientôt m'appeler Barthez, tellement je m'arrache les cheveux. PC Cillin a détecté un Trojan Conhook-V sur soi-disant awtqn.dll ... Sauf que ce fichier n'existe pas sur le PC ! (oui, oui, aucun doute...). Du coup, PC... www.commentcamarche.net/forum/affich-2049068-trojan-conhook-v-qui-me-tient-tete
Trojan Win-32 ConHook-CF (Résolu) Bonjour, j'ai un problem avec le trojan conhook-cf quelqun peut maider? www.commentcamarche.net/forum/affich-4229124-trojan-win-32-conhook-cf

Résultats pour Trojan conhook.L

Supprimer le trojan Vundo/VirtumondeCe trojan nommé Vundo ou Virtumonde, ou encore trojan agent cs se caractérise par la présence d’un ou plusieurs fichiers.dll au nom aléatoire, se situant dans les fichiers system32 et visibles dans un rapport hijackthis au niveau des lignes 02 et/ou... www.commentcamarche.net/faq/sujet-6862-supprimer-le-trojan-vundo-virtumonde
Trojan, comment ça marche ?Comment le pirate arrive t'il à vous espionner avec un Trojan ? Tout d'abord, je vous recommande vivement de bien lire l'article qui suit, merci de vous diriger vers ce lien =>Explication du... www.commentcamarche.net/faq/sujet-9289-trojan-comment-ca-marche
Voir les réponses

Résultats pour Trojan conhook.L

Gros probleme de virus, win32 trojan conhook (Résolu)Bonjour, je viens sur ce forum car j'ai vraiment un gros probleme de virus sur mon PC, mon PC est trés lent depuis un certains temps tout ça a cause d'un virus que je n'arrive pas à enlever, je fait un scan avec ad-aware et il me trouve... www.commentcamarche.net/forum/affich-1984306-gros-probleme-de-virus-win32-trojan-conhook
Aide pour supprimer TROJAN CONHOOK.DS ... SVP (Résolu)Bonjour à tous Je suis depuis quelques jours en train de me batailler contre le TROJAN CONKOOK. DS qui se trouve sur C:\\WINDOWS\SYSTEM32\Mljgeec.dll J'ai essayé de suivre différents procedures que j'ai trouvé sur le forum mais en vain ! Je... www.commentcamarche.net/forum/affich-3228639-aide-pour-supprimer-trojan-conhook-ds-svp
Win32 Trojant Dounloader.Conhook (Résolu)Bonjour,pourrai vous m'aider svp virus Win32 Trojant Dounloader.Conhook Windows xp sp2 media center edition v 2002 pentium r4 cpu 2.80 ghz 512 ram explorer et firefox voici mon rapport hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan... www.commentcamarche.net/forum/affich-5403327-win32-trojant-dounloader-conhook
Voir les réponses

Résultats pour Trojan conhook.L

Télécharger Trojan RemoverSpécialement conçu pour éliminer les trojans (aussi appelés troyens ou chevaux de Troie) ainsi que les intrus de type adwares et spywares , Trojan remover vous aidera à lutter efficacement contre toutes sortes de logiciels espions sévissant sur... www.commentcamarche.net/telecharger/telecharger-34055042-trojan-remover
Voir les réponses