Votre question

Besoin d'aide: virus Win32BHO-KD[trj]

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Février 2008 10:27:22

Bonjour à tous !

Comme le titre l'indique, je suis victime (j'exagère un peu :p ) d'un super virus nommé Win32BHO-KD[trj] et j'ai un peu de peine à m'en débarasser vu mes "connaissances" dans ce domaine...

J'ai utilisé Combofix mais je ne sais pas quoi faire après...

Voila le rapport.

[#aa0055]ComboFix 08-02.05.3 - Administrateur 2008-02-08 9:41:16.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.78 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cmpropsw.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_VHFSUXQR
-------\vhfsuxqr


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))
.

2008-01-14 07:39 . 2008-01-14 07:39 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2008-01-14 07:39 . 2008-01-14 07:39 741,632 --a------ C:\WINDOWS\system32\ietxhewj.dat
2008-01-14 07:39 . 2008-01-14 07:39 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2008-01-14 07:39 . 2008-01-28 09:44 42,752 --a------ C:\WINDOWS\system32\tvjattlp.dat
2008-01-14 07:39 . 2008-01-28 09:44 36,608 --a------ C:\WINDOWS\system32\hhbeoovo.dat
2008-01-14 07:39 . 2008-01-14 07:39 35,072 --a------ C:\WINDOWS\system32\veycjlrp.dat
2008-01-10 20:28 . 2008-01-10 20:28 120,576 --a------ C:\WINDOWS\system32\dtatmmuz.dat
2008-01-10 20:21 . 2008-02-08 09:45 83,968 --a------ C:\WINDOWS\system32\cmpropsw.dll
2008-01-10 20:21 . 19,584 C:\WINDOWS\system32\drivers\qakfyoki.dat
2008-01-10 20:21 . 2008-01-10 20:20 15,872 --a------ C:\WINDOWS\system32\qj3ztp0x.exe
2008-01-10 20:19 . 2001-08-28 13:00 83,968 --a------ C:\WINDOWS\system32\dgrpsetuh.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-08 08:51 65,536 ----a-w C:\WINDOWS\system32\drivers\CnxE2FS.bin
2008-01-02 07:41 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85C35E4F-1CC7-4EBF-838C-11EC558A2EF9}]
2001-08-28 13:00 83968 --a------ C:\WINDOWS\System32\dgrpsetuh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA}]
2008-02-08 09:45 83968 --a------ c:\windows\system32\cmpropsw.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 13:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-04-19 06:51 171448]
"qj3ztp0x"="C:\WINDOWS\system32\qj3ztp0x.exe" [2008-01-10 20:20 15872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISDN Monitor"="Linksts.exe" [2001-03-14 08:50 229376 C:\WINDOWS\system32\linksts.exe]
"Motive SmartBridge"="C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe" [2005-07-29 07:37 397312]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06 79224]
"PMXInit"="C:\WINDOWS\System32\pmxinit.exe" [2004-09-22 00:00 749636]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-02-16 07:25 180269]
"Update 4300C"="C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe" [2001-12-19 09:37 28672]
"Babylon Client"="C:\Program Files\Babylon\Babylon.exe" [2005-12-01 18:22 2446376]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-05-26 11:45 257088]
"qj3ztp0x"="C:\WINDOWS\system32\qj3ztp0x.exe" [2008-01-10 20:20 15872]
"combofix"="C:\WINDOWS\system32\kmd.exe" [2001-08-28 13:00 388096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 13:00 13312]

R0 dgrhegbx;dgrhegbx;C:\WINDOWS\System32\drivers\qakfyoki.dat []
R0 isdnlink;isdnlink;C:\WINDOWS\System32\DRIVERS\linkisdn.sys [2001-02-22 09:31]
R3 powervr;powervr;C:\WINDOWS\System32\DRIVERS\powervr.sys [2004-09-22 12:07]
R3 wanlink;wanlink;C:\WINDOWS\System32\DRIVERS\wanlink.sys [2001-02-22 09:33]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 09:51:12
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\Program Files\Bluewin\Quick Help\bin\mpbtn.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-08 9:54:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-08 08:53:48

Autres pages sur : besoin aide virus win32bho trj

8 Février 2008 15:11:51

Merci pour ton aide !!!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:56, on 08.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\Linksts.exe
C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\qj3ztp0x.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Iomega\Tools\IMGICON.EXE
C:\Program Files\Bluewin\Quick Help\bin\mpbtn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\eden.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {85C35E4F-1CC7-4EBF-838C-11EC558A2EF9} - C:\WINDOWS\System32\dgrpsetuh.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA} - c:\windows\system32\cmpropsw.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\Bluewin\QUICKH~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Update 4300C] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan LTX\update.exe 4300C+
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [qj3ztp0x] C:\WINDOWS\system32\qj3ztp0x.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Iomega Backup Scheduler.lnk = C:\Program Files\Iomega\Iomega Backup\dtiom98.exe
O4 - Global Startup: Iomega Icons.lnk = C:\Program Files\Iomega\Tools\IMGICON.EXE
O4 - Global Startup: IomegaWare.lnk = C:\Program Files\Iomega\Iomegaware\COMMANDER.EXE
O4 - Global Startup: Options de démarrage Iomega.lnk = C:\Program Files\Iomega\Tools\IMGSTART.EXE
O4 - Global Startup: Quick Help.lnk = C:\Program Files\Bluewin\Quick Help\bin\matcli.exe
O4 - Global Startup: QuikSync.lnk = C:\Program Files\Iomega\QuikSync\QUIKSYNC.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O20 - Winlogon Notify: oiccgtue - C:\WINDOWS\SYSTEM32\cmpropsw.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINDOWS\System32\ZipToA.exe

--
End of file - 6128 bytes
a b 8 Sécurité
8 Février 2008 18:55:06

Re,

[#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Driver::
dgrhegbx

File::
C:\WINDOWS\system32\ietxhewj.dat
C:\WINDOWS\system32\tvjattlp.dat
C:\WINDOWS\system32\hhbeoovo.dat
C:\WINDOWS\system32\veycjlrp.dat
C:\WINDOWS\system32\dtatmmuz.dat
C:\WINDOWS\system32\cmpropsw.dll
C:\WINDOWS\system32\drivers\qakfyoki.dat
C:\WINDOWS\system32\qj3ztp0x.exe
C:\WINDOWS\system32\dgrpsetuh.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85C35E4F-1CC7-4EBF-838C-11EC558A2EF9}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9D33244-F1FB-4EDC-AA0F-86FDA61FB2CA}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qj3ztp0x"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qj3ztp0x"=-


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
[#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS