Win32:ConHook-AW, Win32:Trojan-gen (upx)

salut, il faut programmer un scan au démarrage (avast te l'as pas proposé ? )

voici ce que j'ai fais:

Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm


VOICI LE LOG:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\kauduljl.dll",sitypnow
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKLM\..\Policies\Explorer\Run: [*Wssock] wssock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [*Wssock] wssock.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [*Wssock] wssock.exe (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/017d80bbeeb74ab76b23/netzip/RdxI­E601_fr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\system32\pdate.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
End of file - 7510 bytes



Merci de bien vouloir m'aider pour la suite

poste le résultat sur le site officiel d'hijackthis.de dans le cadre blanc au centre de la page , et fait évaluer ( en dessous )

Bonjour,
Ca ne me parait pas très prudent.

Peux-tu poster un rapport Hijackthis entier ? Il manque les processus.

FillPCA

je vois pas en quoi le fait d'évaluer peut ne pas être prudent, on ne parle pas encore de fixer...

Re,
Je suis d'accord avec toi, mais cela n'a pas été précisé... et le pas est vite franchi.
Le robot d'Hijackthis.de n'est plus mis à jour depuis fort longtemps. Certaines lignes infectieuses sont données comme valides. Des lignes valides sont parofis indiquées comme néfastes.

FillPCA

peut-être, mais il détecte quand-même les "gros poissons", ça peut déjà donner un premier aperçu, après je suis d'accord avec toi qu'il faut pas fixer à tour de bras sans chercher à comprendre ce que l'on fait ;)

par contre je savais pas qu'il était plus mis à jour, dommage...

Re,
En plus, ici, compte tenu des symptomes et de la description, il y a certainement des rootkits qui n'apparaitront pas dans le rapport Hijackthis. Ils ne seront pas non plus décelés par un scan en ligne.

je te laisse t'en occuper, puisque tu as l'air de connaitre le sujet mieux que moi... ^^ ( je suivrais la discussion pour voir ce que je peux apprendre... )

PS: par contre tu peux peut-être m'aider ici: inserer un lien#dernier

en attendant qu'il poste son rapport, merci...

Re,
Comme tu veux. Je prends la suite dans ce cas.
@ plus, en attendant le rapport complet.

FillPCA

en attendant tu peux peut-être m'aider ici :

inserer un lien#dernier

c'est une question à 2 balles, mais je trouve pas, j'ai fait des recherches...

merci de l'interet que vous portez à mon problème

pourquoi est ce que mon log n'est pas complet? je réessais:
suite au scan mon bloc note s'ouvre j'ai copié et collé l'intégralité ::

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:46, on 10/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system\NOTEPAD.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\System32\csrs.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\services.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\riwb.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\BitComet\BitComet.exe
C:\hijackthis\HijackThis.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\kauduljl.dll",sitypnow
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKLM\..\Policies\Explorer\Run: [*Wssock] wssock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [*Wssock] wssock.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [*Wssock] wssock.exe (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/017d80bbeeb74ab76b23/netzip/RdxI­E601_fr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\system32\pdate.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
End of file - 7502 bytes

Re,

OK
1/ Tu commences par fermer ceci : C:\Program Files\eMule\emule.exe
2/ Télécharge un pare-feu car ton système n'est pas à jour. Zone alarm est simple à installer. Comodo un peu plus élaboré mais plus efficace.
http://perso.orange.fr/Le-site-de-Fill/S%E9curit%E9/Logiciel­s%20de%20protection.html

3/ # Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
# Imprime ceci.
# Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

* Redémarre ton ordinateur.
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.

# Déroule la liste des instructions ci-dessous :

* En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le script.
* Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt

4/ # Télécharge Vundofix (par Atribune) sur ton Bureau : http://www.atribune.org/ccount/click.php?id=4
# Double-clique VundoFix.exe afin de le lancer.
# Clique sur le bouton Scan for Vundo.
# Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
# Une invite te demandera si tu veux supprimer les fichiers, clique YES.
# Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
# Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
# Copie/colle le contenu du rapport situé dans C:\vundofix.txt

5/ * Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double clique combofix.exe et suis les invites.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

6/ Edite les rapports suivants :
SDfix, Vundofix, Combofix et un nouveau rapport Hijackthis.

FillPCA

Quelle rapidité!!

qu'entends tu par edite les rapports suivants en étape 6?

Re,
Il me faut les rapports après passage de ces outils : SDfix, Vundofix, Combofix et un nouveau rapport Hijackthis.

FillPCA

ok daccord

je te mets tout cela des que c'est fait j'en suis a l'étape '4 pour le moment

LORS DE LA PHASE remove vundo il est écrit:

C:\WINDOWS\System32\ddcdday.dll could not be deleted, vundofix will load on reboot to attempt removal. Please click Remove Vundo once your machine Has rebooted



Mais aussi pour d'autres .dll


est ce normal?

merci

apres le redemarrage vundoo avait encore 5 fichiers j'ai donc clicé sur remove, un rebbot alors, puis redemarrage et vundoo sans rien , j'ai clicé sur remove et la il s'est fermé et mon bureau est apparu

voici le rapport de sdfix ::



SDFix: Version 1.108

Run by yoann on 10/10/2007 at 16:24

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
Rpcmon

ImagePath:
C:\WINDOWS\system32\pdate.exe

Rpcmon - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
C:\WINDOWS\SYSTEM32\YYY.EXE - Deleted
C:\WINDOWS\SYSTEM32\NSLAPI16.DLL - Deleted
C:\WINDOWS\SYSTEM32\WTRL.EXE - Deleted
C:\WINDOWS\myphotos.zip - Deleted
C:\WINDOWS\services.exe - Deleted
C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\system32\csrs.exe - Deleted
C:\WINDOWS\system32\TFTP1028 - Deleted
C:\WINDOWS\system32\TFTP1048 - Deleted
C:\WINDOWS\system32\TFTP1100 - Deleted
C:\WINDOWS\system32\TFTP1144 - Deleted
C:\WINDOWS\system32\TFTP1200 - Deleted
C:\WINDOWS\system32\TFTP1340 - Deleted
C:\WINDOWS\system32\TFTP1364 - Deleted
C:\WINDOWS\system32\TFTP1372 - Deleted
C:\WINDOWS\system32\TFTP1472 - Deleted
C:\WINDOWS\system32\TFTP1548 - Deleted
C:\WINDOWS\system32\TFTP1584 - Deleted
C:\WINDOWS\system32\TFTP1596 - Deleted
C:\WINDOWS\system32\TFTP1652 - Deleted
C:\WINDOWS\system32\TFTP1852 - Deleted
C:\WINDOWS\system32\TFTP1924 - Deleted
C:\WINDOWS\system32\TFTP1936 - Deleted
C:\WINDOWS\system32\TFTP1972 - Deleted
C:\WINDOWS\system32\TFTP2016 - Deleted
C:\WINDOWS\system32\TFTP2052 - Deleted
C:\WINDOWS\system32\TFTP2060 - Deleted
C:\WINDOWS\system32\TFTP2072 - Deleted
C:\WINDOWS\system32\TFTP2104 - Deleted
C:\WINDOWS\system32\TFTP2116 - Deleted
C:\WINDOWS\system32\TFTP2152 - Deleted
C:\WINDOWS\system32\TFTP2156 - Deleted
C:\WINDOWS\system32\TFTP2172 - Deleted
C:\WINDOWS\system32\TFTP2192 - Deleted
C:\WINDOWS\system32\TFTP2196 - Deleted
C:\WINDOWS\system32\TFTP2200 - Deleted
C:\WINDOWS\system32\TFTP2204 - Deleted
C:\WINDOWS\system32\TFTP2220 - Deleted
C:\WINDOWS\system32\TFTP2228 - Deleted
C:\WINDOWS\system32\TFTP2244 - Deleted
C:\WINDOWS\system32\TFTP2252 - Deleted
C:\WINDOWS\system32\TFTP2280 - Deleted
C:\WINDOWS\system32\TFTP2316 - Deleted
C:\WINDOWS\system32\TFTP2324 - Deleted
C:\WINDOWS\system32\TFTP2340 - Deleted
C:\WINDOWS\system32\TFTP2388 - Deleted
C:\WINDOWS\system32\TFTP2480 - Deleted
C:\WINDOWS\system32\TFTP2500 - Deleted
C:\WINDOWS\system32\TFTP2508 - Deleted
C:\WINDOWS\system32\TFTP2564 - Deleted
C:\WINDOWS\system32\TFTP2580 - Deleted
C:\WINDOWS\system32\TFTP2584 - Deleted
C:\WINDOWS\system32\TFTP2604 - Deleted
C:\WINDOWS\system32\TFTP2608 - Deleted
C:\WINDOWS\system32\TFTP2624 - Deleted
C:\WINDOWS\system32\TFTP2628 - Deleted
C:\WINDOWS\system32\TFTP2632 - Deleted
C:\WINDOWS\system32\TFTP2700 - Deleted
C:\WINDOWS\system32\TFTP2712 - Deleted
C:\WINDOWS\system32\TFTP2720 - Deleted
C:\WINDOWS\system32\TFTP2756 - Deleted
C:\WINDOWS\system32\TFTP276 - Deleted
C:\WINDOWS\system32\TFTP2784 - Deleted
C:\WINDOWS\system32\TFTP2816 - Deleted
C:\WINDOWS\system32\TFTP2828 - Deleted
C:\WINDOWS\system32\TFTP2840 - Deleted
C:\WINDOWS\system32\TFTP2956 - Deleted
C:\WINDOWS\system32\TFTP2960 - Deleted
C:\WINDOWS\system32\TFTP3004 - Deleted
C:\WINDOWS\system32\TFTP3020 - Deleted
C:\WINDOWS\system32\TFTP3024 - Deleted
C:\WINDOWS\system32\TFTP3032 - Deleted
C:\WINDOWS\system32\TFTP3044 - Deleted
C:\WINDOWS\system32\TFTP3064 - Deleted
C:\WINDOWS\system32\TFTP3076 - Deleted
C:\WINDOWS\system32\TFTP308 - Deleted
C:\WINDOWS\system32\TFTP3080 - Deleted
C:\WINDOWS\system32\TFTP3116 - Deleted
C:\WINDOWS\system32\TFTP3128 - Deleted
C:\WINDOWS\system32\TFTP3184 - Deleted
C:\WINDOWS\system32\TFTP3196 - Deleted
C:\WINDOWS\system32\TFTP324 - Deleted
C:\WINDOWS\system32\TFTP3244 - Deleted
C:\WINDOWS\system32\TFTP3252 - Deleted
C:\WINDOWS\system32\TFTP3260 - Deleted
C:\WINDOWS\system32\TFTP3276 - Deleted
C:\WINDOWS\system32\TFTP3280 - Deleted
C:\WINDOWS\system32\TFTP3288 - Deleted
C:\WINDOWS\system32\TFTP3296 - Deleted
C:\WINDOWS\system32\TFTP3308 - Deleted
C:\WINDOWS\system32\TFTP3324 - Deleted
C:\WINDOWS\system32\TFTP3332 - Deleted
C:\WINDOWS\system32\TFTP3340 - Deleted
C:\WINDOWS\system32\TFTP3356 - Deleted
C:\WINDOWS\system32\TFTP3380 - Deleted
C:\WINDOWS\system32\TFTP3388 - Deleted
C:\WINDOWS\system32\TFTP3392 - Deleted
C:\WINDOWS\system32\TFTP3420 - Deleted
C:\WINDOWS\system32\TFTP3460 - Deleted
C:\WINDOWS\system32\TFTP3476 - Deleted
C:\WINDOWS\system32\TFTP3508 - Deleted
C:\WINDOWS\system32\TFTP352 - Deleted
C:\WINDOWS\system32\TFTP3544 - Deleted
C:\WINDOWS\system32\TFTP3556 - Deleted
C:\WINDOWS\system32\TFTP3564 - Deleted
C:\WINDOWS\system32\TFTP3580 - Deleted
C:\WINDOWS\system32\TFTP3592 - Deleted
C:\WINDOWS\system32\TFTP3604 - Deleted
C:\WINDOWS\system32\TFTP3608 - Deleted
C:\WINDOWS\system32\TFTP364 - Deleted
C:\WINDOWS\system32\TFTP3640 - Deleted
C:\WINDOWS\system32\TFTP3652 - Deleted
C:\WINDOWS\system32\TFTP3656 - Deleted
C:\WINDOWS\system32\TFTP3680 - Deleted
C:\WINDOWS\system32\TFTP3684 - Deleted
C:\WINDOWS\system32\TFTP3708 - Deleted
C:\WINDOWS\system32\TFTP3724 - Deleted
C:\WINDOWS\system32\TFTP3748 - Deleted
C:\WINDOWS\system32\TFTP3756 - Deleted
C:\WINDOWS\system32\TFTP3840 - Deleted
C:\WINDOWS\system32\TFTP3896 - Deleted
C:\WINDOWS\system32\TFTP3900 - Deleted
C:\WINDOWS\system32\TFTP3908 - Deleted
C:\WINDOWS\system32\TFTP3956 - Deleted
C:\WINDOWS\system32\TFTP3964 - Deleted
C:\WINDOWS\system32\TFTP3976 - Deleted
C:\WINDOWS\system32\TFTP456 - Deleted
C:\WINDOWS\system32\TFTP584 - Deleted
C:\WINDOWS\system32\TFTP588 - Deleted
C:\WINDOWS\system32\TFTP632 - Deleted
C:\WINDOWS\system32\TFTP952 - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 15 Mar 2005 56 ..SHR --- "C:\WINDOWS\system32\A4C925D6C1.sys"
Tue 9 Oct 2007 5,120 A..H. --- "C:\WINDOWS\system32\acidhv.exe"
Sun 14 May 2006 5 A.SH. --- "C:\WINDOWS\system32\cdfafdafb4_s.dll"
Tue 9 Oct 2007 3,584 A..H. --- "C:\WINDOWS\system32\cpybnljt.exe"
Wed 10 Oct 2007 575,721 ..SH. --- "C:\WINDOWS\system32\dehkj.bak2"
Tue 9 Oct 2007 1,972 A..H. --- "C:\WINDOWS\system32\dmnrgro.exe"
Tue 9 Oct 2007 34,816 A..H. --- "C:\WINDOWS\system32\ecufpx.exe"
Tue 9 Oct 2007 34,816 A..H. --- "C:\WINDOWS\system32\fwqygnh.exe"
Tue 9 Oct 2007 38,912 A..H. --- "C:\WINDOWS\system32\hzcx.exe"
Tue 9 Oct 2007 4,096 A..H. --- "C:\WINDOWS\system32\julrfxp.exe"
Wed 4 Jan 2006 10,074 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Tue 9 Oct 2007 38,912 A..H. --- "C:\WINDOWS\system32\khnobw.exe"
Tue 9 Oct 2007 26,112 A..H. --- "C:\WINDOWS\system32\lgyzx.exe"
Tue 9 Oct 2007 27,136 A..H. --- "C:\WINDOWS\system32\xrzsa.exe"
Tue 9 Oct 2007 38,912 A..H. --- "C:\WINDOWS\system32\yxtf.exe"
Sat 26 Feb 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 4 Mar 2005 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv19.bak"
Tue 9 Oct 2007 20,752 A..H. --- "C:\Documents and Settings\yoann\Local Settings\Temp\1000000f000b7ae760032\IPCONFIG.exe"
Sat 26 Feb 2005 4,348 ...H. --- "C:\Documents and Settings\yoann\Mes documents\Ma musique\EPS\Sauvegarde de la licence\drmv1key.bak"
Thu 6 Jul 2006 401 A..H. --- "C:\Documents and Settings\yoann\Mes documents\Ma musique\EPS\Sauvegarde de la licence\drmv1lic.bak"
Wed 5 Jul 2006 488 A.SH. --- "C:\Documents and Settings\yoann\Mes documents\Ma musique\EPS\Sauvegarde de la licence\drmv2key.bak"

Finished!