Votre question

[Résolu] Multiples trojan, je ne sais pas comment réagir! :/

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Juin 2006 15:15:08

Bonjour,

Sans vouloir lui porter la faute, ma soeur a accidentellement cliqué sur une de ces fameuses pop up qui entrainent l'apparition d'un grand nombre de pub et l'installation automatique de logiciels malveillants. Le problème étant qu'on a tout de suite compris qu'il s'agissait de ce genre de logiciels.
Après un scan sur secuser, il y avait comme trojan ceux-ci :

-TROJ PROXY.AC
-TROJ CHOPHAR.A
-TROJ AGENT.CFQ
-TROJ SMALL.WL
-TROJ LAGER.Z
-TROJ PROXY.BN

Sans être pessimiste, on est tout juste désespérés... :-(
En esperant une réponse sérieuse et détaillée, on vous remercie d'avance :) 

Autres pages sur : resolu multiples trojan sais reagir

28 Juin 2006 15:17:28

Ah.. Et si ça peut aider, je viens de faire un scan hijackthis

voilà... :

Logfile of HijackThis v1.99.1
Scan saved at 15:16:54, on 28/06/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\lmvr1924\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
F3 - REG:win.ini: run=C:\WINDOWS\inet20026\services.exe
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20026\3.03.00.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9BB5B49C-0D59-418d-A6A5-F6373B8FEF64} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\utilitaires\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [f3178b04.exe] C:\WINDOWS\System32\f3178b04.exe
O4 - HKLM\..\Run: [ÿ_zskzuko`zimwilhpaow50inkrwksz_] c:\windows\system32\_zskwrkni05woaphliwmiz`okuz.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20026\services.exe
O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Utilitaires\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Utilitaires\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\RunServices: [ÿ_zskzuko`zimwilhpaow50inkrwksz_] c:\windows\system32\_zskwrkni05woaphliwmiz`okuz.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\testtestt.exe
O4 - HKLM\..\RunOnce: [eISS_licreg] "C:\Utilitaires\eTrust Internet Security Suite\licreg.exe" /s
O4 - HKCU\..\Run: [nForce Tray Options] sstray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\utilitaires\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /dropdisc
O4 - HKCU\..\Run: [f3178b04.exe] C:\Documents and Settings\lmvr1924\Local Settings\Application Data\f3178b04.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe
O4 - HKCU\..\Run: [ÿ_zskzuko`zimwilhpaow50inkrwksz_] c:\windows\system32\_zskwrkni05woaphliwmiz`okuz.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20026\services.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Startup: Anti-Pub.lnk = C:\Program Files\utilitaires\Antipub\antipub.exe
O4 - Startup: Démarrer Look 'n' Stop.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\utilitaires\StopPub\StopPub.exe (file missing)
O9 - Extra 'Tools' menuitem: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\utilitaires\StopPub\StopPub.exe (file missing)
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {4B6E3013-6E45-11D0-9309-0020AFE05CC8} (blaxxun CC3D) - http://www.allomaison.fr/medias/contact/cab/blaxxunCC3D...
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Documents\Settings\polymorph.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\utilitaires\n\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Merci d'avance :) 
a b 8 Sécurité
28 Juin 2006 15:38:37

On commence par un pré-nettoyage

Installe Ewido
Lance Ewido puis mets le à jour en cliquant sur " Update Now "
Ferme le programme.
Aide sur Ewido de Rub_Mic

Redémarre en mode sans échec

Relance Ewido puis choisis l'onglet " Scanner "
Fais un " Complete System Scan "
** Si un fichier est infecté, choisis l'option " Apply All Actions " en fin d'analyse **
Clique sur " Save Report " puis sur " Save Report As "
Enregistre ce fichier .txt sur ton bureau, Copie/Colle le ici en mode normal.
Contenus similaires
28 Juin 2006 15:39:03

1/CCleaner

Telecharge ccleaner sur ce site:
CCleaner
Il nettoie ton ordi de tout les fichiers temporaires inutiles.
Fais une analyse puis lance le nettoyage.

2/Ewido

Telecharge ewido sur ce site:
Ewido-Anti-Malware
Fais les mise a jour puis fais un scan , post le rapport et appuie sur Apply all actions pour supprimer les menaces.

3/repost un nouveau log hijackthis
28 Juin 2006 17:02:26

Voilà, j'ai fait un scan ewido,
j'ai traité la plupart des trojan qu'il découvrait, au final ça donne ça :

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 16:58:50 28/06/2006

+ Scan result:



HKLM\SOFTWARE\Altnet -> Adware.Altnet : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Adware.Altnet : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Adware.Altnet : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\Replace.HBO -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\Replace.HBO.1 -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\Replace.HBO\CLSID -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKLM\SOFTWARE\Classes\Replace.HBO\CurVer -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
HKU\S-1-5-21-2025429265-329068152-839522115-1003\Software\Microsoft\Internet Explorer\Keywords -> Adware.CoolWebSearch : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\nnnfhbrl\ltlbnhbn\rfaafhft.exe -> Adware.Gator : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\nnnfhbrl\nhdbppnjel\apalftpch.exe -> Adware.Gator : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\3.03.00.dll -> Adware.Ihbo : Cleaned with backup (quarantined).
HKLM\SOFTWARE\PerfectNav -> Adware.KeenValue : Cleaned with backup (quarantined).
HKLM\SOFTWARE\PerfectNav\BHO -> Adware.KeenValue : Cleaned with backup (quarantined).
HKLM\SOFTWARE\PerfectNav\BHO\HomePage -> Adware.KeenValue : Cleaned with backup (quarantined).
HKLM\SOFTWARE\PerfectNav\BHO\RedirectURLS -> Adware.KeenValue : Cleaned with backup (quarantined).
C:\Program Files\utilitaires\Samsung\MP3 to WAV Decoder\SaveInstWm.exe/Save.exe -> Adware.SaveNow : Error during cleaning.
C:\Program Files\utilitaires\Samsung\MP3 to WAV Decoder\SaveInstWm.exe/SaveUninst.exe -> Adware.SaveNow : Error during cleaning.
C:\Program Files\utilitaires\Samsung\MP3 to WAV Decoder\SaveInstWm.exe/Weather\Uninst.exe -> Adware.SaveNow : Error during cleaning.
C:\Program Files\utilitaires\Samsung\MP3 to WAV Decoder\SaveInstWm.exe/Weather\Weather.exe -> Adware.SaveNow : Error during cleaning.
C:\Program Files\Alcohol Soft\Alcohol 120% Toolbar\a120_tb.dll -> Adware.Softomate : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\services.exe -> Downloader.Agent.anh : Cleaned with backup (quarantined).
C:\WINDOWS\system32\vxgame6.exe -> Downloader.Agent.anh : Cleaned with backup (quarantined).
C:\Program Files\Common Files\updmgr\rvupdmgr.exe -> Downloader.Keenval : Cleaned with backup (quarantined).
C:\Program Files\Common Files\updmgr\simgr.exe -> Downloader.Keenval : Cleaned with backup (quarantined).
C:\Program Files\Common Files\updmgr\updmgr.exe -> Downloader.Keenval : Cleaned with backup (quarantined).
C:\WINDOWS\system32\vxgame3.exe -> Downloader.Small.cxx : Cleaned with backup (quarantined).
C:\WINDOWS\system32\testtestt.exe -> Downloader.Small.cyb : Cleaned with backup (quarantined).
C:\WINDOWS\system32\vxgamet3.exe -> Downloader.Small.cyb : Cleaned with backup (quarantined).
C:\WINDOWS\system32\vxgamet2.exe -> Downloader.Small.dbx : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\mm5.exe -> Logger.Delf.ig : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\mm5.exe.bak -> Logger.Delf.ig : Cleaned with backup (quarantined).
C:\Program Files\utilitaires\Cain\Abel.dll -> Not-A-Virus.PSWTool.Win32.Cain.b : Ignored.
C:\WINDOWS\inet20026\ICQ2003Decrypt.dll -> Not-A-Virus.PSWTool.Win32.ICQ.l : Ignored.
C:\WINDOWS\OEM.exe -> Proxy.Agent.jw : Cleaned with backup (quarantined).
C:\WINDOWS\OEM.exe.bak -> Proxy.Agent.jw : Cleaned with backup (quarantined).
C:\WINDOWS\system32\_zskwrkni05WOAPHLIWMIZ`OKUZ.exe -> Proxy.Agent.km : Cleaned with backup (quarantined).
C:\WINDOWS\system32\ipod.raw.exe -> Proxy.Lager.aq : Cleaned with backup (quarantined).
C:\WINDOWS\system32\taskdir.dll -> Proxy.Lager.aq : Cleaned with backup (quarantined).
C:\WINDOWS\system32\taskdir.exe -> Proxy.Lager.aq : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\socks.exe -> Proxy.Small.bt : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\socks.exe.bak -> Proxy.Small.bt : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\select.exe -> Proxy.Small.em : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\select.exe.bak -> Proxy.Small.em : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\Icq.exe -> Trojan.Agent.gq : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\Icq.exe.bak -> Trojan.Agent.gq : Cleaned with backup (quarantined).
C:\WINDOWS\Downloaded Program Files\wzdesk6x.exe -> Trojan.Dialer.cj : Cleaned with backup (quarantined).
C:\Program Files\Montorgueil\VideosJF18ans_hard\VideosJF18ans_hard.exe -> Trojan.Dialer.eg : Cleaned with backup (quarantined).
C:\WINDOWS\system32\maxd641.exe -> Trojan.Dialer.pw : Cleaned with backup (quarantined).
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Trojan.Sinowal.aa : Cleaned with backup (quarantined).
[1900] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Trojan.Sinowal.aa : Error during cleaning.
[488] C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Trojan.Sinowal.aa : Error during cleaning.
C:\WINDOWS\inet20026\alg.exe -> Worm.Delf.i : Cleaned with backup (quarantined).
C:\WINDOWS\inet20026\alg.exe.bak -> Worm.Delf.i : Cleaned with backup (quarantined).


::Report end

je vais faire un hijackthis tout de suite,

(en tout cas, merci pr les réponses, on apprécie vraiment :) 
28 Juin 2006 17:05:48

et voilà le rapport hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 17:03:48, on 28/06/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\utilitaires\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\lmvr1924\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
F3 - REG:win.ini: run=C:\WINDOWS\inet20026\services.exe
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20026\3.03.00.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9BB5B49C-0D59-418d-A6A5-F6373B8FEF64} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\utilitaires\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [f3178b04.exe] C:\WINDOWS\System32\f3178b04.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Utilitaires\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Utilitaires\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\utilitaires\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [nForce Tray Options] sstray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\utilitaires\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /dropdisc
O4 - HKCU\..\Run: [f3178b04.exe] C:\Documents and Settings\lmvr1924\Local Settings\Application Data\f3178b04.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - Startup: Anti-Pub.lnk = C:\Program Files\utilitaires\Antipub\antipub.exe
O4 - Startup: Démarrer Look 'n' Stop.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\utilitaires\StopPub\StopPub.exe (file missing)
O9 - Extra 'Tools' menuitem: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\utilitaires\StopPub\StopPub.exe (file missing)
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {4B6E3013-6E45-11D0-9309-0020AFE05CC8} (blaxxun CC3D) - http://www.allomaison.fr/medias/contact/cab/blaxxunCC3D...
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Documents\Settings\polymorph.dll
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\utilitaires\n\BlueSoleil\BTNtService.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\Utilitaires\ewido anti-spyware 4.0\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

28 Juin 2006 17:22:15

Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20026\3.03.00.dll (file missing)
O2 - BHO: (no name) - {9BB5B49C-0D59-418d-A6A5-F6373B8FEF64} - (no file)
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe
O4 - HKLM\..\Run: [f3178b04.exe] C:\WINDOWS\System32\f3178b04.exe
O4 - HKCU\..\Run: [f3178b04.exe] C:\Documents and Settings\lmvr1924\Local Settings\Application Data\f3178b04.exe
O9 - Extra button: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\utilitaires\StopPub\StopPub.exe (file missing)
O9 - Extra 'Tools' menuitem: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\utilitaires\StopPub\StopPub.exe (file missing)
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Documents\Settings\polymorph.dll

Redémarre en mode sans échec, (en tapotant F8 au démarrage).
Assures-toi que tu as accès aux fichiers cachés.
-Explorateur windows->outils->options des dossiers->affichage
"Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché
"Masquer les fichiers protégers du système"->décoché

Supprimes manuellement les fichiers suivants:
:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe
C:\Program Files\Common files\updmgr\updmgr.exe
C:\WINDOWS\vsnpmi03.exe
C:\WINDOWS\System32\f3178b04.exe
C:\Documents and Settings\lmvr1924\Local Settings\Application Data\f3178b04.exe
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\polymorph.dll
Vide ta corbeille.
Redémarre ton pc.
28 Juin 2006 17:25:15

Bonjour

Va sur ce lien. Cela permettra d'étudier attentivement ces deux fichiers afin de mieux les combattre.

http://secubox.gateweb.org/mad.php

Tu clique sur Parcourir pour chercher ce fichier
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll

Dans la case message, tu mets le lien de ce post
http://www.infos-du-net.com/forum/245500-11-multiples-t...

Puis Envoyer.

Recommence avec

O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Documents\Settings\polymorph.dll
28 Juin 2006 17:42:56

Oui, mais ce n'est pas dans le but d'une bibliothèque des fichiers infectieux que cette demande est faite.

Mais dans le but de décortiquer leur code et leur évolution.

Par exemple

Citation :
Fichier: polymorph.dll
Taille: 13 298
Compression: Upack
MD5: 3cb8cbed9ebe77f8354da44d08da025f
SHA-1: 694b91afc6ec58d1f00220f0734d8c949a69c3d9
Unité MAD - db.add (06/05/2006)

28 Juin 2006 19:21:14

Ok, j'ai bien fait ce que vous m'avez conseillé :) 

Maintenant, il reste un problème qui me semble incapable de résoudre seul :
Depuis que l'on est contaminé, on est incapable d'accéder au gestionnaire des taches, processus etc. et comme les fichiers artm_new.dll et polymorph.dll ont été supprimés (d'ailleurs, sur le scan hijackthis, ils ne sont plus là), je ne peux pas procéder aux derniers conseils.

J'aimerais donc savoir comment je peux réactiver le gestionnaire de taches, et si la suppression de polymorph.dll et de artm_new.dll est une bonne chose ou pas?

En tout cas, merci encore pour vos conseils :-D
a b 8 Sécurité
28 Juin 2006 19:26:20

Essaie ceci:

Telecharge ZebRestore
Lance l'application
Coche la ligne relative au Gestionnaire des Taches
Valide

Citation :
J'aimerais donc savoir comment je peux réactiver le gestionnaire de taches, et si la suppression de polymorph.dll et de artm_new.dll est une bonne chose ou pas?

Bonne chose

PS: Pour Chercheur, Mad a fait la demande sur l'Espace Secu il y a pas mal de temps, on doit continuer a lui envoyer ?
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS