Sujet Précédent Sujet Suivant

Guerre contre trojan win32.small.EPG

Fermé
JEJEnancy - 15 avril 2007 à 17:05
 NZE - 28 déc. 2007 à 17:42
A s arracher les cheuveux : j ai beau le supprimer il réaparait infectant un nouveau fichier; la mise en quarantaine est refusée ...
Il sagit du gentil trojan win32.small.EPG
Alors a l aide, toute les deux minutes avast declanche l alarme ca devient infernal ...
Que faire ?
jeje
A voir également:

16 réponses

Réponse 1 / 16
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
15 avril 2007 à 17:06
bonjour,

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm
0
Réponse 2 / 16
nani
23 mai 2007 à 18:07
bonjour , j ai le meme soucis que toi je ne parviens pas a me débarrasser de 4 virus : win32agent-GKL , win32Crypt-JN ,WIN 32 small-EPJ et WIN 32 dlena-BG. quelqu 'un pourrait il m 'aider? merci
0
Réponse 3 / 16
May
23 oct. 2007 à 21:27
Bonjour,
j'ai aussi le cheval de troie small-EPJ (bien pénible), voici le rapprt HijackThis, si qqn peut m'aider, ça serait vraimenty cool

Logfile of HijackThis v1.99.1
Scan saved at 21:24:19, on 23/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\winamp.exe
D:\WINDOWS\System32\Isass.exe
D:\WINDOWS\System32\ltqxh.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\cmd.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\MSN Messenger\usnsvc.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2736D1FB-E735-4BB2-A555-BEB2840C674C} - D:\WINDOWS\System32\mlljh.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - D:\WINDOWS\System32\tmp71.tmp.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - D:\WINDOWS\System32\feppwpwr.dll
O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - D:\WINDOWS\System32\awtqnkh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\System32\feppwpwr.dll
O4 - HKLM\..\Run: [Winamp Agent] D:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Services] D:\WINDOWS\System32\ltqxh.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "D:\WINDOWS\System32\ofejnvct.dll",sitypnow
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: d:\windows\system32\pmnnnkj.dll
O20 - Winlogon Notify: awtqnkh - D:\WINDOWS\SYSTEM32\awtqnkh.dll
O20 - Winlogon Notify: feppwpwr - D:\WINDOWS\SYSTEM32\feppwpwr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DomainService - Unknown owner - D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
0
Réponse 4 / 16
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
23 oct. 2007 à 21:36
bonsoir,

* Télécharge VundoFix.exe (par Atribune) sur ton Bureau

http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer

* Clique sur le bouton Scan for Vundo

* Lorsque le scan est complété, clique sur le bouton Remove Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse


Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
May
24 oct. 2007 à 13:41
Bonjour,
OK, donc j'ai fait tout ça, ça s'est passé tout comme t'as dit (y'a juste eu un fichier bien récalcitrant pour lequel il a fallu rebooter 2 fois avant qu'il parte). Y'a déjà du mieux ! : j'avais une "security toolbar" que j'avais jamais demandée qui squattait mon navigateur internet, ben elle est partie !

Ci-dessous Vundo (ouaou il fait des pages !!), ensuite le rapport HijackThis dans un 2ème message.

Et MERCI BEAUCOUP pour le coup de main !


VundoFix V6.5.10

Checking Java version...

Sun Java not detected
Scan started at 13:13:37 24/10/2007

Listing files found while scanning....

D:\windows\system32\awtqnkh.dll
D:\windows\system32\awtqnkk.dll
D:\windows\system32\cbxuuvs.dll
D:\windows\system32\cbxvstq.dll
D:\windows\system32\cbxxwts.dll
D:\windows\system32\cbxxxuv.dll
D:\windows\system32\ddccyab.dll
D:\WINDOWS\System32\feppwpwr.dll
D:\windows\system32\gebbyxv.dll
D:\windows\system32\gebxvtt.dll
D:\windows\system32\hggggdb.dll
D:\windows\system32\iifdaxu.dll
D:\windows\system32\iiffffd.dll
D:\windows\system32\jkkhfed.dll
D:\windows\system32\jkkljgh.dll
D:\windows\system32\khffcda.dll
D:\windows\system32\mljhgdd.dll
D:\windows\system32\mljhhfe.dll
D:\windows\system32\mljkkhi.dll
D:\windows\system32\nnnklji.dll
D:\windows\system32\nnnlkii.dll
D:\WINDOWS\System32\ofejnvct.dll
D:\windows\system32\opnlkkh.dll
D:\windows\system32\opnmjjg.dll
D:\windows\system32\pmnnlki.dll
D:\windows\system32\qomkigf.dll
D:\WINDOWS\System32\tcvnjefo.ini
D:\WINDOWS\System32\tmp71.tmp.dll
D:\windows\system32\urqnnnm.dll
D:\windows\system32\wvurqpm.dll
D:\windows\system32\yayywxw.dll

Beginning removal...

VundoFix V6.5.10

Checking Java version...

Sun Java not detected
Scan started at 13:20:21 24/10/2007

Listing files found while scanning....

D:\windows\system32\awtqnkh.dll
D:\windows\system32\awtqnkk.dll
D:\windows\system32\cbxuuvs.dll
D:\windows\system32\cbxvstq.dll
D:\windows\system32\cbxxwts.dll
D:\windows\system32\cbxxxuv.dll
D:\windows\system32\ddccyab.dll
D:\WINDOWS\System32\feppwpwr.dll
D:\windows\system32\gebbyxv.dll
D:\windows\system32\gebxvtt.dll
D:\windows\system32\hggggdb.dll
D:\windows\system32\iifdaxu.dll
D:\windows\system32\iiffffd.dll
D:\windows\system32\jkkhfed.dll
D:\windows\system32\jkkljgh.dll
D:\windows\system32\khffcda.dll
D:\windows\system32\mljhgdd.dll
D:\windows\system32\mljhhfe.dll
D:\windows\system32\mljkkhi.dll
D:\windows\system32\nnnklji.dll
D:\windows\system32\nnnlkii.dll
D:\WINDOWS\System32\ofejnvct.dll
D:\windows\system32\opnlkkh.dll
D:\windows\system32\opnmjjg.dll
D:\windows\system32\pmnnlki.dll
D:\windows\system32\qomkigf.dll
D:\WINDOWS\System32\tcvnjefo.ini
D:\WINDOWS\System32\tmp71.tmp.dll
D:\windows\system32\urqnnnm.dll
D:\windows\system32\wvurqpm.dll
D:\windows\system32\yayabyv.dll
D:\windows\system32\yayywxw.dll

Beginning removal...

Attempting to delete D:\windows\system32\awtqnkh.dll
D:\windows\system32\awtqnkh.dll Could not be deleted.

Attempting to delete D:\windows\system32\awtqnkk.dll
D:\windows\system32\awtqnkk.dll Has been deleted!

Attempting to delete D:\windows\system32\cbxuuvs.dll
D:\windows\system32\cbxuuvs.dll Has been deleted!

Attempting to delete D:\windows\system32\cbxvstq.dll
D:\windows\system32\cbxvstq.dll Has been deleted!

Attempting to delete D:\windows\system32\cbxxwts.dll
D:\windows\system32\cbxxwts.dll Has been deleted!

Attempting to delete D:\windows\system32\cbxxxuv.dll
D:\windows\system32\cbxxxuv.dll Has been deleted!

Attempting to delete D:\windows\system32\ddccyab.dll
D:\windows\system32\ddccyab.dll Has been deleted!

Attempting to delete D:\WINDOWS\System32\feppwpwr.dll
D:\WINDOWS\System32\feppwpwr.dll Has been deleted!

Attempting to delete D:\windows\system32\gebbyxv.dll
D:\windows\system32\gebbyxv.dll Has been deleted!

Attempting to delete D:\windows\system32\gebxvtt.dll
D:\windows\system32\gebxvtt.dll Has been deleted!

Attempting to delete D:\windows\system32\hggggdb.dll
D:\windows\system32\hggggdb.dll Has been deleted!

Attempting to delete D:\windows\system32\iifdaxu.dll
D:\windows\system32\iifdaxu.dll Has been deleted!

Attempting to delete D:\windows\system32\iiffffd.dll
D:\windows\system32\iiffffd.dll Has been deleted!

Attempting to delete D:\windows\system32\jkkhfed.dll
D:\windows\system32\jkkhfed.dll Has been deleted!

Attempting to delete D:\windows\system32\jkkljgh.dll
D:\windows\system32\jkkljgh.dll Has been deleted!

Attempting to delete D:\windows\system32\khffcda.dll
D:\windows\system32\khffcda.dll Has been deleted!

Attempting to delete D:\windows\system32\mljhgdd.dll
D:\windows\system32\mljhgdd.dll Has been deleted!

Attempting to delete D:\windows\system32\mljhhfe.dll
D:\windows\system32\mljhhfe.dll Has been deleted!

Attempting to delete D:\windows\system32\mljkkhi.dll
D:\windows\system32\mljkkhi.dll Has been deleted!

Attempting to delete D:\windows\system32\nnnklji.dll
D:\windows\system32\nnnklji.dll Has been deleted!

Attempting to delete D:\windows\system32\nnnlkii.dll
D:\windows\system32\nnnlkii.dll Has been deleted!

Attempting to delete D:\WINDOWS\System32\ofejnvct.dll
D:\WINDOWS\System32\ofejnvct.dll Has been deleted!

Attempting to delete D:\windows\system32\opnlkkh.dll
D:\windows\system32\opnlkkh.dll Has been deleted!

Attempting to delete D:\windows\system32\opnmjjg.dll
D:\windows\system32\opnmjjg.dll Has been deleted!

Attempting to delete D:\windows\system32\pmnnlki.dll
D:\windows\system32\pmnnlki.dll Has been deleted!

Attempting to delete D:\windows\system32\qomkigf.dll
D:\windows\system32\qomkigf.dll Has been deleted!

Attempting to delete D:\WINDOWS\System32\tcvnjefo.ini
D:\WINDOWS\System32\tcvnjefo.ini Has been deleted!

Attempting to delete D:\WINDOWS\System32\tmp71.tmp.dll
D:\WINDOWS\System32\tmp71.tmp.dll Has been deleted!

Attempting to delete D:\windows\system32\urqnnnm.dll
D:\windows\system32\urqnnnm.dll Has been deleted!

Attempting to delete D:\windows\system32\wvurqpm.dll
D:\windows\system32\wvurqpm.dll Has been deleted!

Attempting to delete D:\windows\system32\yayabyv.dll
D:\windows\system32\yayabyv.dll Has been deleted!

Attempting to delete D:\windows\system32\yayywxw.dll
D:\windows\system32\yayywxw.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete D:\windows\system32\awtqnkh.dll
D:\windows\system32\awtqnkh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...
0
Réponse 6 / 16
May
24 oct. 2007 à 13:42
Bonjour,
Voici le rapport HijackThis :


Logfile of HijackThis v1.99.1
Scan saved at 13:36:29, on 24/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\Isass.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B3FB5464-80A4-431C-99DB-CEDAB4FE1014} - D:\WINDOWS\System32\mlljh.dll
O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - D:\WINDOWS\System32\tuvutqo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: d:\windows\system32\pmnnnkj.dll
O20 - Winlogon Notify: tuvutqo - D:\WINDOWS\SYSTEM32\tuvutqo.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DomainService - Unknown owner - D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
0
Réponse 7 / 16
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
24 oct. 2007 à 19:58
bonsoir

tu m'étonnes qu'il y a déjà du mieux. As tu vu ce que vundofix t'as viré ?

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

ainsi qu'un nouveau rapport hijackthis

0
Réponse 8 / 16
May
5 nov. 2007 à 17:49
Salut Philae83.
Merci énormément pour ton aide. Franchement, mon ordi il est tout guéri, et on est redevenus copains.
Sinon, pour répondr à ta question, ben j'ai pas vu ce que Vundofix m'a viré, paske ce su'il raconte, ben c'est du tchaïnize pour moi. Mais merci pour tout, et t'inquiète pas trop pour la suite tout fonctionne (en plus j'ai installé Firefox à la place de IE qui déconne comme un neuneu et c'est super comme ça).
Je te up-crédite ta réputation en pensée (paske en réalité je sais pas comment on fait on n'est pas sur eBay ici ^ ^)
Tchô le hackeur (de rocker)

PS : ci-dessous rapport combofix + HijackThis pour te faire plaiz'

PS 2 : je rentre tout juste de vacances ce qui explique mon silence de 10 jours.





ComboFix 07-11-05.2 - Mayrdeedooch 2007-11-05 17:33:31.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.69 [GMT 1:00]
Running from: D:\Documents and Settings\Mayrdeedooch\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Documents and Settings\Mayrdeedooch\Application Data\tmp6E.tmp.exe
D:\Documents and Settings\Mayrdeedooch\Application Data\tmp71.tmp.exe
D:\Documents and Settings\Mayrdeedooch\Application Data\tmp73.tmp.exe
D:\WINDOWS\cookies.ini
D:\WINDOWS\system32\__c00261E0.dat
D:\WINDOWS\system32\__c003B172.dat
D:\WINDOWS\system32\__c0069399.dat
D:\WINDOWS\system32\__c00736A2.dat
D:\WINDOWS\system32\__c00C029E.dat
D:\WINDOWS\system32\__c00E0597.dat
D:\WINDOWS\system32\3_exception.nls
D:\WINDOWS\system32\awtqnkh.dll
D:\WINDOWS\system32\awtropo.dll
D:\WINDOWS\system32\bcrpncye.dll
D:\WINDOWS\system32\byxvsqo.dll
D:\WINDOWS\system32\byxwxvw.dll
D:\WINDOWS\system32\byxyyyx.dll
D:\WINDOWS\system32\cbxxuur.dll
D:\WINDOWS\system32\ddcbbya.dll
D:\WINDOWS\system32\ddcbyvv.dll
D:\WINDOWS\system32\ddcyywx.dll
D:\WINDOWS\system32\dgrpgboo.ini
D:\WINDOWS\system32\efcaxuu.dll
D:\WINDOWS\system32\efcaxvw.dll
D:\WINDOWS\system32\efcddaa.dll
D:\WINDOWS\system32\efcyaax.dll
D:\WINDOWS\system32\ehljkwyl.dll
D:\WINDOWS\system32\fccaaxx.dll
D:\WINDOWS\system32\feppwpwr.dllbox
D:\WINDOWS\system32\gsulwuis.dll
D:\WINDOWS\system32\hggddab.dll
D:\WINDOWS\system32\hjllm.bak2
D:\WINDOWS\system32\hjllm.ini
D:\WINDOWS\system32\hxjqtbeq.dll
D:\WINDOWS\system32\iexplore.exe
D:\WINDOWS\system32\iifcaax.dll
D:\WINDOWS\system32\iifffgf.dll
D:\WINDOWS\system32\irrnbckh.dll
D:\WINDOWS\system32\isass.exe
D:\WINDOWS\system32\jbsbisao.dll
D:\WINDOWS\system32\jkkijji.dll
D:\WINDOWS\system32\khfdayx.dll
D:\WINDOWS\system32\khfgggg.dll
D:\WINDOWS\system32\mljihgd.dll
D:\WINDOWS\system32\mlljh.dll
D:\WINDOWS\system32\obuaoroa.dll
D:\WINDOWS\system32\oobgprgd.dll
D:\WINDOWS\system32\opnlkih.dll
D:\WINDOWS\system32\opnlmkk.dll
D:\WINDOWS\system32\qomllji.dll
D:\WINDOWS\system32\rqrqnno.dll
D:\WINDOWS\system32\rqrsrom.dll
D:\WINDOWS\system32\sqtoqhpq.dll
D:\WINDOWS\system32\ssqnmmk.dll
D:\WINDOWS\system32\ssqronm.dll
D:\WINDOWS\system32\tuvutqo.dll
D:\WINDOWS\system32\vtutqro.dll
D:\WINDOWS\system32\wfffodku.dll
D:\WINDOWS\system32\xshpjlph.dll
D:\WINDOWS\system32\xwidqfsl.dll
D:\WINDOWS\system32\xxyyaxu.dll
D:\WINDOWS\system32\yayvvwu.dll
D:\WINDOWS\system32\yayyvsq.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
-------\runtime


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-05 to 2007-11-05 ))))))))))))))))))))))))))))))))))))
.

2007-11-05 17:38 24,820 --a------ D:\WINDOWS\system32\gather.exe
2007-11-05 17:33 83,008 --a------ D:\WINDOWS\system32\yfosfapg.dll
2007-11-05 17:32 51,200 --a------ D:\WINDOWS\NirCmd.exe
2007-11-05 15:09 <REP> d-------- D:\Documents and Settings\Mayrdeedooch\Application Data\OpenOffice.org2
2007-11-05 12:16 35,328 --a------ D:\WINDOWS\system32\iifddax.dll
2007-11-05 11:55 35,328 --a------ D:\WINDOWS\system32\gebcdee.dll
2007-11-05 11:35 <REP> d-------- D:\Program Files\OpenOffice.org 2.3
2007-11-05 11:25 <REP> d-------- D:\Program Files\Java
2007-11-05 11:24 <REP> d-------- D:\Program Files\Fichiers communs\Java
2007-11-05 09:12 35,328 --a------ D:\WINDOWS\system32\ddccyww.dll
2007-11-05 08:51 35,328 --a------ D:\WINDOWS\system32\ddccday.dll
2007-11-04 22:12 1,156 --a------ D:\WINDOWS\mozver.dat
2007-11-04 21:44 86,080 --a------ D:\WINDOWS\system32\xwhkklnl.dll
2007-10-30 05:12 17,408 --a------ D:\WINDOWS\system32\crdq.exe
2007-10-30 04:51 17,408 --a------ D:\WINDOWS\system32\ajmrbwqt.exe
2007-10-29 18:25 0 --a------ D:\WINDOWS\nsreg.dat
2007-10-29 15:37 17,408 --a------ D:\WINDOWS\system32\hmcyjtu.exe
2007-10-29 15:16 17,408 --a------ D:\WINDOWS\system32\nakgf.exe
2007-10-29 00:24 17,408 --a------ D:\WINDOWS\system32\bmkx.exe
2007-10-29 00:03 17,408 --a------ D:\WINDOWS\system32\mnhcaio.exe
2007-10-28 01:50 <REP> d-------- D:\Documents and Settings\Mayrdeedooch\Application Data\vlc
2007-10-28 01:45 <REP> d-------- D:\Documents and Settings\Mayrdeedooch\WINDOWS
2007-10-28 01:42 <REP> d-------- D:\Program Files\VideoLAN
2007-10-26 17:22 1,635 --a------ D:\WINDOWS\system32\wvwymza.exe
2007-10-24 15:47 1,635 --a------ D:\WINDOWS\system32\dyqzx.exe
2007-10-24 12:12 <REP> d-------- D:\Program Files\Fichiers communs\Adobe
2007-10-22 17:01 <REP> d-------- D:\WINDOWS\Fichiers d'installation de Windows Update
2007-10-22 16:26 0 --a------ D:\WINDOWS\system32\updetwind.exe
2007-10-22 16:13 340,032 --a------ D:\WINDOWS\system32\hucdeefy.dll
2007-10-21 20:47 <REP> d---s---- D:\Documents and Settings\Mayrdeedooch\UserData
2007-10-21 20:12 <REP> d-------- D:\Program Files\eMule
2007-10-21 19:44 512 --ah----- D:\WINDOWS\system32\kiwm.exe
2007-10-21 19:41 <REP> d-------- D:\Program Files\Realtek Sound Manager
2007-10-21 19:41 <REP> d-------- D:\Program Files\AvRack
2007-10-21 19:28 <REP> d-------- D:\Documents and Settings\Mayrdeedooch\Contacts
2007-10-21 19:27 <REP> d----c--- D:\WINDOWS\system32\DRVSTORE
2007-10-21 19:23 <REP> d-------- D:\Program Files\MSN Messenger
2007-10-21 12:56 294,912 --a------ D:\WINDOWS\system32\aot.exe
2007-10-21 12:52 1,635 --a------ D:\WINDOWS\system32\eipxqyzd.exe
2007-10-21 12:52 43 --a------ D:\WINDOWS\removalfile.bat
2007-10-21 12:51 <REP> d-------- D:\Program Files\Services en ligne

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-22 15:19 --------- d--h--w D:\Program Files\InstallShield Installation Information
2007-10-22 15:19 --------- d-----w D:\Program Files\Creative
2007-10-21 13:00 --------- d-----w D:\Program Files\Fichiers communs\InstallShield
2007-10-21 12:57 --------- d-----w D:\Program Files\Camfrog
2007-10-21 12:57 --------- d-----w D:\Documents and Settings\Mayrdeedooch\Application Data\Camfrog
2007-10-21 12:43 --------- d-----w D:\Program Files\Fichiers communs\SpeechEngines
2007-10-21 12:43 --------- d-----w D:\Program Files\Fichiers communs\ODBC
2007-10-21 12:36 --------- d-----w D:\Program Files\Alwil Software
2007-10-21 12:15 --------- d-----w D:\Program Files\microsoft frontpage
2007-10-21 12:11 241,664 ----a-w D:\WINDOWS\system32\hdb.exe
2007-10-21 12:10 --------- d-----w D:\Program Files\Fichiers communs\MSSoap
2007-09-06 10:09 801,144 ----a-w D:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w D:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w D:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w D:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w D:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w D:\WINDOWS\system32\AvastSS.scr
2007-09-06 10:00 26,624 ----a-w D:\WINDOWS\system32\drivers\aavmker4.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a7251edc-84ad-4bf2-b4b8-ed42e5e4aadd}]
2007-11-05 17:33 83008 --a------ D:\WINDOWS\System32\yfosfapg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BCC73622-F72D-4277-803C-D65565A0947F}]
2007-11-05 08:51 35328 --a------ D:\WINDOWS\system32\ddccday.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Local Security Authority Service"="D:\WINDOWS\System32\Isass.exe" []
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"SoundMan"="SOUNDMAN.EXE" [2003-02-10 08:59 D:\WINDOWS\SOUNDMAN.EXE]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"Advanced DHTML Enable"="D:\WINDOWS\System32\crdq.exe" [2007-10-30 05:12]
"686ae8f6"="D:\WINDOWS\System32\xwhkklnl.dll" [2007-11-04 21:44]
"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-06-14 18:32]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:45]
"MsnMsgr"="D:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"MSMSGS"="D:\Program Files\Messenger\msmsgs.exe" [2002-08-20 14:08]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BCC73622-F72D-4277-803C-D65565A0947F}"= D:\WINDOWS\system32\ddccday.dll [2007-11-05 08:51 35328]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccday]
ddccday.dll 2007-11-05 08:51 35328 D:\WINDOWS\system32\ddccday.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 D:\WINDOWS\System32\mlljh.dll


.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-05 17:38:24
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-05 17:39:41 - machine was rebooted
.
--- E O F ---
0
Réponse 9 / 16
May
5 nov. 2007 à 17:52
Et vla le rapport HijackThis :



Logfile of HijackThis v1.99.1
Scan saved at 17:51:08, on 05/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\cmd.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\crdq.exe
D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\OpenOffice.org 2.3\program\soffice.exe
D:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\WINDOWS\system32\notepad.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\System32\rundll32.exe
D:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
D:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A36D53DD-2E62-4FBA-854F-6EA33D2320EA} - D:\WINDOWS\System32\sstts.dll
O2 - BHO: {ddaa4e5e-24de-8b4b-2fb4-da48cde1527a} - {a7251edc-84ad-4bf2-b4b8-ed42e5e4aadd} - D:\WINDOWS\System32\yfosfapg.dll
O2 - BHO: (no name) - {BCC73622-F72D-4277-803C-D65565A0947F} - D:\WINDOWS\system32\ddccday.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\WINDOWS\System32\crdq.exe
O4 - HKLM\..\Run: [686ae8f6] rundll32.exe "D:\WINDOWS\System32\xwhkklnl.dll",b
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ddccday - D:\WINDOWS\SYSTEM32\ddccday.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
0
Réponse 10 / 16
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
5 nov. 2007 à 20:31
bOnsoir,

j'espère que les vacances étaient bonnes :)
je regarde tes rapports, réponse dans un petit moment
0
Réponse 11 / 16
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
5 nov. 2007 à 20:44
re

encore pas mal de choses
tu n'as pas la dernière version d'hijackthis, procure la toi ici
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
le prochain rapport, tu te sers de celle ci.

puis

* Lance hijackthis puis coche ces lignes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A36D53DD-2E62-4FBA-854F-6EA33D2320EA} - D:\WINDOWS\System32\sstts.dll
O2 - BHO: {ddaa4e5e-24de-8b4b-2fb4-da48cde1527a} - {a7251edc-84ad-4bf2-b4b8-ed42e5e4aadd} - D:\WINDOWS\System32\yfosfapg.dll
O2 - BHO: (no name) - {BCC73622-F72D-4277-803C-D65565A0947F} - D:\WINDOWS\system32\ddccday.dll
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Advanced DHTML Enable] D:\WINDOWS\System32\crdq.exe
O4 - HKLM\..\Run: [686ae8f6] rundll32.exe "D:\WINDOWS\System32\xwhkklnl.dll",b
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O20 - Winlogon Notify: ddccday - D:\WINDOWS\SYSTEM32\ddccday.dll


* toutes applications fermées et hors connexion, clique sur "fix checked

puis


Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

D:\WINDOWS\system32\yfosfapg.dll 
D:\WINDOWS\system32\iifddax.dll 
D:\WINDOWS\system32\gebcdee.dll 
D:\WINDOWS\system32\ddccyww.dll 
D:\WINDOWS\system32\ddccday.dll 
D:\WINDOWS\mozver.dat 
D:\WINDOWS\system32\xwhkklnl.dll 
D:\WINDOWS\system32\crdq.exe 
D:\WINDOWS\system32\ajmrbwqt.exe 
D:\WINDOWS\nsreg.dat
D:\WINDOWS\System32\Isass.exe 
D:\WINDOWS\web\related.htm  
D:\WINDOWS\system32\hmcyjtu.exe 
D:\WINDOWS\system32\nakgf.exe 
D:\WINDOWS\system32\bmkx.exe 
D:\WINDOWS\system32\mnhcaio.exe 
D:\WINDOWS\system32\wvwymza.exe 
D:\WINDOWS\system32\dyqzx.exe 
D:\WINDOWS\system32\updetwind.exe 
D:\WINDOWS\system32\hucdeefy.dll 
D:\WINDOWS\system32\kiwm.exe 
D:\WINDOWS\system32\eipxqyzd.exe 
D:\WINDOWS\removalfile.bat 
D:\WINDOWS\System32\yfosfapg.dll 
D:\WINDOWS\system32\ddccday.dll 
D:\WINDOWS\System32\mlljh.dll



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.


et

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver la case : Masquer les fichier protégés du système d'exploitation

Puis - Appliquer

puis

* Rend toit sur VIRUS TOTAL
http://www.virustotal.com/en/indexf.html

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

D:\WINDOWS\system32\aot.exe


reposte ensuite les différents rapports stp
0
Réponse 12 / 16
May
7 nov. 2007 à 19:41
Bonjour,
Vla le rapport OTMovelt :


DllUnregisterServer procedure not found in D:\WINDOWS\system32\yfosfapg.dll
D:\WINDOWS\system32\yfosfapg.dll NOT unregistered.
D:\WINDOWS\system32\yfosfapg.dll moved successfully.
DllUnregisterServer procedure not found in D:\WINDOWS\system32\iifddax.dll
D:\WINDOWS\system32\iifddax.dll NOT unregistered.
D:\WINDOWS\system32\iifddax.dll moved successfully.
DllUnregisterServer procedure not found in D:\WINDOWS\system32\gebcdee.dll
D:\WINDOWS\system32\gebcdee.dll NOT unregistered.
D:\WINDOWS\system32\gebcdee.dll moved successfully.
DllUnregisterServer procedure not found in D:\WINDOWS\system32\ddccyww.dll
D:\WINDOWS\system32\ddccyww.dll NOT unregistered.
D:\WINDOWS\system32\ddccyww.dll moved successfully.
DllUnregisterServer procedure not found in D:\WINDOWS\system32\ddccday.dll
D:\WINDOWS\system32\ddccday.dll NOT unregistered.
D:\WINDOWS\system32\ddccday.dll moved successfully.
D:\WINDOWS\mozver.dat moved successfully.
File/Folder D:\WINDOWS\system32\xwhkklnl.dll not found.
D:\WINDOWS\system32\crdq.exe moved successfully.
D:\WINDOWS\system32\ajmrbwqt.exe moved successfully.
D:\WINDOWS\nsreg.dat moved successfully.
File/Folder D:\WINDOWS\System32\Isass.exe not found.
D:\WINDOWS\web\related.htm moved successfully.
D:\WINDOWS\system32\hmcyjtu.exe moved successfully.
D:\WINDOWS\system32\nakgf.exe moved successfully.
D:\WINDOWS\system32\bmkx.exe moved successfully.
D:\WINDOWS\system32\mnhcaio.exe moved successfully.
D:\WINDOWS\system32\wvwymza.exe moved successfully.
D:\WINDOWS\system32\dyqzx.exe moved successfully.
D:\WINDOWS\system32\updetwind.exe moved successfully.
File/Folder D:\WINDOWS\system32\hucdeefy.dll not found.
D:\WINDOWS\system32\kiwm.exe moved successfully.
D:\WINDOWS\system32\eipxqyzd.exe moved successfully.
D:\WINDOWS\removalfile.bat moved successfully.
File/Folder D:\WINDOWS\System32\yfosfapg.dll not found.
File/Folder D:\WINDOWS\system32\ddccday.dll not found.
File/Folder D:\WINDOWS\System32\mlljh.dll not found.

Created on 11/07/2007 19:35:26
0
Réponse 13 / 16
May
7 nov. 2007 à 19:57
Je précise qu'avant de lancer OTMovelt, je me suis refais un petit coup de VondoFix, car les problèmes avec IE sont revenus (il m'ouvre des pages alors que je lui ai rien demandé, je vais finir par le désinstaller totalement de l'ordi).
Du coup sur le nouveau rapport HijackThis (avec la dernière version), y'avait pas toutes les lignes à cocher que tu m'as indiquées, j'ai coché celles qui y étaient et qui correspondaient.



Enfin bon, voila le rapport Virus Total :


Fichier aot.exe reçu le 2007.11.07 19:44:47 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Fichier aot.exe reçu le 2007.11.07 19:44:47 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 15/32 (46.88%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 49 et 70 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.8.0 2007.11.07 -
AntiVir 7.6.0.34 2007.11.07 HEUR/Crypted
Authentium 4.93.8 2007.11.07 -
Avast 4.7.1074.0 2007.11.06 -
AVG 7.5.0.503 2007.11.07 SHeur.UGV
BitDefender 7.2 2007.11.07 -
CAT-QuickHeal 9.00 2007.11.07 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.11.07 PUA.Packed.Themida
DrWeb 4.44.0.09170 2007.11.07 -
eSafe 7.0.15.0 2007.11.06 -
eTrust-Vet 31.2.5276 2007.11.07 Win32/Petribot.ASA
Ewido 4.0 2007.11.07 -
FileAdvisor 1 2007.11.07 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.07 -
F-Secure 6.70.13030.0 2007.11.07 Backdoor.Win32.SdBot.ceq
Ikarus T3.1.1.12 2007.11.07 Generic.Sdbot
Kaspersky 7.0.0.125 2007.11.07 Backdoor.Win32.SdBot.ceq
McAfee 5158 2007.11.07 -
Microsoft 1.3007 2007.11.07 -
NOD32v2 2643 2007.11.07 IRC/SdBot
Norman 5.80.02 2007.11.06 SDBot.gen9
Panda 9.0.0.4 2007.11.07 -
Prevx1 V2 2007.11.07 Heuristic: Suspicious Self Modifying EXE
Rising 20.17.22.00 2007.11.07 Trojan.Win32.Agent.zto
Sophos 4.23.0 2007.11.07 -
Sunbelt 2.2.907.0 2007.11.06 VIPRE.Suspicious
Symantec 10 2007.11.07 -
TheHacker 6.2.9.118 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.07 Worm.SdBot.TKQ
Webwasher-Gateway 6.0.1 2007.11.07 Heuristic.Crypted
Information additionnelle
File size: 294912 bytes
MD5: 8e8959f5cdba038e571c085064b6fb3e
SHA1: e2774598c497f119a2381a17b65c7a934ab3b811
packers: Themida
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=476A7AFF00D638068021049A82100F00DA1F82A1
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
0
Réponse 14 / 16
May
7 nov. 2007 à 20:00
...
Ainsi qu'un nouveau rapport HijackThis (dernière version), j'ai cru comprendre que ça pouvait être utile.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:12, on 07/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\OpenOffice.org 2.3\program\soffice.exe
D:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
D:\WINDOWS\System32\khhxbapw.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [686ae8f6] rundll32.exe "D:\WINDOWS\System32\saeeuoyt.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = D:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O20 - AppInit_DLLs: D:\WINDOWS\System32\__c001D68.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DomainService - - D:\WINDOWS\System32\khhxbapw.exe
0
Réponse 15 / 16
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
7 nov. 2007 à 21:56
bonsoir,

vundo je te l'aurais fait repasser, mais si tu fais de ton côté des choses sans me donner les rapports, je ne vais plus trop savoir où j'en suis :)

supprime :

D:\WINDOWS\system32\aot.exe

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt
0
Réponse 16 / 16
NZE
28 déc. 2007 à 17:42
c:\Program Files\MSN Messenger\usnsvc.exe is a Trojan related by Microsoft Services ...
he's the same Sniffing fonction ...
be care of this ...
0

Discussions similaires

C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses