ConHook.gen et Pakes.DSRésolu/Fermé

Question

Bonjour,

J'ai besoin d'aide je n'arrive pas a me débarrasser de ces deux messages d'erreur qui deviennent plus que récurent:

Je dispose de Windows XP

C:\WINDOWS\System32\jkhhh.dll   puis TR/Dlde.ConHook.Gen

et

C:\WINDOWS\System32\byxyywt.dll    puis TR/Pakes.DS

tous deux détecté par Antivir-personal-edition 7

J'ai essayé Ad Aware 2007 mais ca ne marche vraiment pas ou je ne sais pas m'en servir...

Merci d'avance de votre aide je ne sais plus quoi faire

did71 · Answer

Bonsoir,

* Télécharge VundoFix.exe (par Atribune) sur ton Bureau:

http://www.atribune.org/public-beta/VundoFix.exe

* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt!

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

a+

CC · Answer

Bonjour did71

Merci de ton aide: je l'ai fait : la 1ere fois il a detecté des fichiers mias j'ai toujours les messages d'erreur alors j'ai essayé une seconde fois et il ne trouve plus aucun fichier infécté alors que l'antivirus continue a en detecter, moins souvent mais encore...

Pourrais tu encore m'aider ??

Merci d'avance

did71 · Answer

Bonsoir,

peux tu poster le rapport demandé!

a+

CC · Answer

Ci-joint le rapport demandé:


VundoFix V6.5.10

Checking Java version...

Sun Java not detected
Scan started at 00:22:02 01/01/2001

Listing files found while scanning....

C:\WINDOWS\System32\byxyywt.dll
C:\WINDOWS\System32\cgkrgarh.dll
C:\WINDOWS\System32\hragrkgc.ini
C:\WINDOWS\System32\uwfbrepu.dll
C:\WINDOWS\System32\yaructdf.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\byxyywt.dll
C:\WINDOWS\System32\byxyywt.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\cgkrgarh.dll
C:\WINDOWS\System32\cgkrgarh.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\hragrkgc.ini
C:\WINDOWS\System32\hragrkgc.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\uwfbrepu.dll
C:\WINDOWS\System32\uwfbrepu.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Sun Java not detected
Scan started at 00:28:39 01/01/2001

Listing files found while scanning....

No infected files were found.

did71 · Answer

re,

télécharge RegSearch

 http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Dézippe-le sur ton bureau.

Double clic sur regsrch.vbs, dans la fenêtre qui s'ouvre, écris jkhhh.dll

à la fin de la recherche, copie et colle le rapport ici!

Recommence avec byxyywt.dll

a+

CC · Answer

je suis désolée mais je ne dispose pas d'IZArc.exe .... je n'arrive as a ouvrir le ZIP....désolée

did71 · Answer

re, 

prends le ici, pas besoin de le dézipper!

https://www.hightail.com/

a+

CC · Answer

re,

Résultat recherche jkhhh.dll :

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "jkhhh.dll" 01/01/2001 02:15:31

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12EAFFFE-8E69-4EC5-8039-D27BDC505656}\InprocServer32]
@="C:\WINDOWS\System32\jkhhh.dll"


Résultat recherche byxyywt.dll : No Instances found...

did71 · Answer

re,

Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en gras ci-dessous, (copie tout d'un trait) : 


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{12EAFFFE-8E69-4EC5-8039-D27BDC505656}]

Puis "fichier"/"enregistrer sous" : 
dans : sur le bureau 
Nom du fichier : fix.reg 
Type de fichier : "tous les fichiers" 
clique sur "enregistrer" 

double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui" !


Ensuite, 
téléchargel HijackThis v 2.0.2

http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Fais un scan et poste l'analyse

a+

CC · Answer

voilà le résultat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:39:51, on 01/01/2001
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ps2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hpe.com/h41271/404D.aspx?cc=us&ll=en&url=http://domainredirects.ext.hpe.com/qfr8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {12EAFFFE-8E69-4EC5-8039-D27BDC505656} - C:\WINDOWS\System32\jkhhh.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - 
O16 - DPF: {2ABE804B-4D3A-41BF-A172-304627874B45} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} - https://www.afternic.com/domains/downloadv3.com
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
O20 - Winlogon Notify: byxxxvv - C:\WINDOWS\SYSTEM32\byxxxvv.dll
O20 - Winlogon Notify: ddcabcd - C:\WINDOWS\SYSTEM32\ddcabcd.dll
O20 - Winlogon Notify: jkkhhec - C:\WINDOWS\SYSTEM32\jkkhhec.dll
O20 - Winlogon Notify: mljifcd - C:\WINDOWS\SYSTEM32\mljifcd.dll
O20 - Winlogon Notify: pmnmjkj - C:\WINDOWS\SYSTEM32\pmnmjkj.dll
O20 - Winlogon Notify: pmnomki - C:\WINDOWS\SYSTEM32\pmnomki.dll
O20 - Winlogon Notify: qomnlkl - C:\WINDOWS\SYSTEM32\qomnlkl.dll
O20 - Winlogon Notify: rqrsppn - C:\WINDOWS\SYSTEM32\rqrsppn.dll
O20 - Winlogon Notify: vturoml - C:\WINDOWS\SYSTEM32\vturoml.dll
O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll
O20 - Winlogon Notify: xxywwxv - C:\WINDOWS\SYSTEM32\xxywwxv.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\fqwbkmjj.exe (file missing)
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\frehost.exe (file missing)

CC · Answer

le message concernant  C:\WINDOWS\System32\jkhhh.dll puis TR/Dlde.ConHook.Gen est en train de s'affoler depuis la dernière manipulation est-ce normal??? 

A+

did71 · Answer

re,

houla!!

Télécharge ComboFix (par sUBs) d'un de ces liens sur ton bureau:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
 
Double clique combofix.exe et suis les invites 

Poste le rapport!

a+

CC · Answer

Re,

Voilà le rapport obtenu...... Encore un énorme Merci de ton aide

ComboFix 07-10-23.1 - Propri‚taire 2001-01-01  3:08:08.1 - NTFSx86 
Microsoft Windows XP dition familiale  5.1.2600.1.1252.1.1036.18.97 [GMT 1:00]
Running from: C:\Documents and Settings\Propri‚taire\Bureau\ComboFix.exe
 * Created a new restore point
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\WINDOWS\cookies.ini
C:\WINDOWS\Downloaded Program Files.\egdhtml.inf
C:\WINDOWS\system32\_000103_.tmp.dll
C:\WINDOWS\system32\awtqnkh.dll
C:\WINDOWS\system32\hhhkj.bak2
C:\WINDOWS\system32\hhhkj.ini
C:\WINDOWS\system32\jkhhh.dll
C:\WINDOWS\system32\khffggh.dll
C:\WINDOWS	mlpcert2005
D:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


(((((((((((((((((((((((((((((   Fichiers créés 2007-09-23 to 2007-10-23  ))))))))))))))))))))))))))))))))))))
.

2007-10-10 21:56	<REP>	d--------	C:\Program Files\Lavasoft
2007-10-04 22:20	0	--a------	C:\WINDOWS\system32\ahopbegnz.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-10 19:55	---------	d-----w	C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-10-04 19:51	---------	d---a-w	C:\Documents and Settings\Propriétaire\Application Data\Microsoft
2007-10-04 19:51	---------	d---a-w	C:\Documents and Settings\Propriétaire\Application Data\Microsoft
2003-11-24 13:10	32,416	----a-w	C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
2003-11-24 13:10	32,416	----a-w	C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-08 00:04]
"StorageGuard"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-02-13 16:01]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2002-09-14 05:42]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-05 08:24 C:\WINDOWS\system32\Ati2mdxx.exe]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-12 01:11]
"AlcxMonitor"="ALCXMNTR.EXE" [2003-04-04 04:35 C:\WINDOWS\ALCXMNTR.EXE]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 21:00]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2002-08-01 04:28]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 13:52]
"AdslTaskBar"="stmctrl.dll" [2003-09-19 13:24 C:\WINDOWS\system32\stmctrl.dll]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-04-12 16:09]
"Application Layer Gateway Service"="C:\WINDOWS\System32\algs.exe" []
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 21:43]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
"P2P Networking"="C:\WINDOWS\System32\P2P Networking\P2P Networking.exe" [2003-11-17 14:34]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversionun]
@=
"ALUAlert"=C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\byxxxvv] 
byxxxvv.dll 2001-01-01 01:08 35328 C:\WINDOWS\system32\byxxxvv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\ddcabcd] 
ddcabcd.dll 2001-01-01 01:08 35328 C:\WINDOWS\system32\ddcabcd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\jkkhhec] 
jkkhhec.dll 2001-01-01 01:01 35328 C:\WINDOWS\system32\jkkhhec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\mljifcd] 
mljifcd.dll 2001-01-01 01:01 35328 C:\WINDOWS\system32\mljifcd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\pmnmjkj] 
pmnmjkj.dll 2001-01-02 01:05 35328 C:\WINDOWS\system32\pmnmjkj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\pmnomki] 
pmnomki.dll 2001-01-01 01:00 35328 C:\WINDOWS\system32\pmnomki.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\qomnlkl] 
qomnlkl.dll 2001-01-01 01:04 35328 C:\WINDOWS\system32\qomnlkl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otifyqrsppn] 
rqrsppn.dll 2001-01-01 01:13 35328 C:\WINDOWS\system32qrsppn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\vturoml] 
vturoml.dll 2001-01-01 01:11 35328 C:\WINDOWS\system32\vturoml.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\xxywwwx] 
xxywwwx.dll 2001-01-01 01:10 35328 C:\WINDOWS\system32\xxywwwx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\xxywwxv] 
xxywwxv.dll 2001-01-01 01:01 35328 C:\WINDOWS\system32\xxywwxv.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\System32\DRIVERS\wg111v2.sys
S3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS	orususb.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-23 03:12:48
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-10-23  3:15:09 - machine was rebooted 
.
	--- E O F ---

did71 · Answer

re,

on va supprimer rapidement le reste des infections mais avant, rends toi ici:

https://www.virustotal.com/gui/

fais analyser:

C:\WINDOWS\system32\ahopbegnz.exe

poste le rapport virustotal!

Ensuite, on termine le travail!

a+

CC · Answer

j'ai selectionné le fichier mais il réponds:

0 bytes size received / Se ha recibido un archivo vacio

je me suis trompée ou??

did71 · Answer

re,

quelquefois virustotal merdouille, essaie ici:

https://virusscan.jotti.org/

a+

CC · Answer

Je n'ai en tout cas plus de message d'erreur a ce stade.... pour le moment

did71 · Answer

re,

si jotti ne fonctionne pas, dis le moi!!

on va continuer!

a+

CC · Answer

Désolée mais j'ai la même chose:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

je dois faire autre chose??

CC · Answer

Je suis prête...

A tes ordres CHEF

did71 · Answer

re,

ok, on attaque!

Télécharge Brute Force Uninstaller (de Merijn): 


http://www.merijn.org/files/bfu.zip 


Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU) 


3) Ouvre le Bloc-note et copie-colle les lignes en gras ci-dessous 

RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxxxvv
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcabcd
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhhec
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljifcd
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnmjkj
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnomki
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomnlkl
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rqrsppn
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturoml
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxywwwx
RegDeleteKey HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxywwxv

SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0


Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Fixme.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Redémarre normalement.

Poste le rapport situé ici 
C:\egd.txt avec un nouveau HijackThis.


a+

CC · Answer

je suis désolée mais je ne dispose pas d'IZArc.exe .... je n'arrive as a ouvrir le ZIP....désolée

did71 · Answer

re,

ici, non zippé!

https://www.hightail.com/

a+

CC · Answer

Re,

Ci-joint rapport dans edge... est-ce cela???

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe"
"StorageGuard"="\"C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe\" /r"
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE"
"ATIModeChange"="Ati2mdxx.exe"
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe"
"AlcxMonitor"="ALCXMNTR.EXE"
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"PS2"="C:\WINDOWS\system32\ps2.exe"
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe"
"AdslTaskBar"="rundll32.exe stmctrl.dll,TaskBar"
"QuickTime Task"="\"C:\Program Files\QuickTime\qttask.exe\" -atboottime"
"Application Layer Gateway Service"="C:\WINDOWS\System32\algs.exe"
"avgnt"="\"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe\" /min"
"UserFaultCheck"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,\
  6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
  00,64,00,75,00,6d,00,70,00,72,00,65,00,70,00,20,00,30,00,20,00,2d,00,75,00,\
  00,00
"P2P Networking"="C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

CC · Answer

Bonsoir did71,

Que dois-je faire en plus??

Dois-je garder les antivirus téléchargés?

Merci

did71 · Answer

Bonsoir,

Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en gras ci-dessous, (copie tout d'un trait) : 

REGEDIT4

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"P2P Networking"=-


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix1.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

double clique sur fix1.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui" !

Dis moi comment se comporte le pc!

a+

CC · Answer

Le PC a l'air de bien fonctionner... plus de message d'erreur...

Ca veux dire que c'est bon?? les fichiers infectés sont ils toujours sur le PC??

Que faire de tout ce que j'azi téléchargé??

Y a -til un antivirus à telecharger?? ou un firewall??

A+

did71 · Answer

re,

non, tout est nettoyé, on a viré les éléments infectieux de la base de registre, c'est ceux ci qui amenaient les messages!

Supprime tout ce que nous avons utilisé!

tu as antivir en antivirus, c'est très bien!

regarde ici pour plus de sécurité:

https://forum.pcastuces.com/default.asp

tu y trouveras tout ce dont tu as besoin!


Si tu veux, on peux continuer les vérifications avec un scan en ligne ici:

http://www.bitdefender.fr/scan_fr/scan8/ie.html

poste le rapport ensuite!

a

CC · Answer

Re, Je viens de le faire et voici le rapport obtenu: BitDefender Online Scanner - Rapport d'analyse

BitDefender Online Scanner

Rapport d'analyse généré à: Wed, Oct 24, 2007 - 22:45:41

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;

Statistiques
Temps	00:39:48
Fichiers	178411
Directoires	3411
Secteurs de boot	3
Archives	17844
Paquets programmes	11330

Résultats
Virus identifiés	2
Fichiers infectés	2
Fichiers suspects	0
Avertissements	0
Désinfectés	0
Fichiers effacés	2

Info sur les moteurs
Définition virus	857798
Version des moteurs	AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins	14
Archive des plugins	38
Unpack des plugins	7
E-mail plugins	6
Système plugins	1

Paramètres d'analyse
Première action	Désinfecté
Seconde Action	Supprimé
Heuristique	Oui
Acceptez les avertissements	Oui
Extensions analysées	*;
Excludez les extensions
Analyse d'emails	Oui
Analyse des Archives	Oui
Analyser paquets programmes	Oui
Analyse des fichiers	Oui
Analyse de boot	Oui

Fichier analysé	Statut
C:\VundoFix Backups\cgkrgarh.dll.bad	Infecté par: Trojan.Vundo.DNP
C:\VundoFix Backups\cgkrgarh.dll.bad	Echec de la désinfection
C:\VundoFix Backups\cgkrgarh.dll.bad	Supprimé
C:\WINDOWS\system32\TechWayLayer.exe	Infecté par: Backdoor.RBot.XIV
C:\WINDOWS\system32\TechWayLayer.exe	Echec de la désinfection
C:\WINDOWS\system32\TechWayLayer.exe	Supprimé

did71 · Answer

re,

un peu illisible le rapport mais pas grave, je l'ai renommé et j'ai pu le lire visiblement!

C'est Nickel, une infection contenu dans la sauvegarde de vundo et une autre concernant TechWayLayer.exe supprimé par bitdefender!

c'est donc propre!

a+

CC · Answer

Bonsoir,


Merci de ton aide je pense qu'il n'y a plus rien d'autre a faire...

C'était super sympas et surtout tes explications étaient SUPER claires

A bientôt

Cécilia (pas sarkosy)

PS: je dois prendre un fire wall ou pas??

did71 · Answer

Bonsoir,

ah oui!!! il te faut un parefeu, regarde dans le lien que je t'ai donné plus haut, tu trouveras tout ce dont tu as besoin!

Content d'avoir pu t'aider!

à bientôt, j'espère pas ou alors avec un pc propre cette fois,lol!!

Bon surf

a+

CC · Answer

Salut,

Effectivement je ne te dis pas à binetot mais merci de ton aide...

PS: le pare feu c'est quel lien tu m'en as donné tellement LOL

did71 · Answer

re,

c'est ici:

https://forum.pcastuces.com/default.asp

des outils, des tutos, tout!!

a+

CC · Answer

Je ne sais pas quoi dire


MERCI

MERCI

MERCI

MERCI         did71

A bientôt

Qui sait???

Je pense que ce problème est désormais résolu ! ! !

did71 · Answer

re,

vu que tu n'es pas inscrite sur CCM, je vais mettre ce sujet comme résolu!

merci pour les remerciements, ça fait plaisir!

Bonne soirée!

a+

ConHook.gen et Pakes.DS

36 réponses

Newsletters