Se connecter / S'enregistrer
Votre question

trojan-downloader.win32conhook.m désinfection impossible

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Octobre 2005 14:00:53

:-o bonjour ! que faire ???
1) avant lancement du scan Kapersky de windows XP, une barre AVP Monitor Alerte virus apparait : Virus Trojan-Downloader.win32Conhook.m détecté dans C:\WINDOWS\system32\mlljh.dll
2) Scan disque dur via Kaspersky Anti-Virus
C:\Documents and Settings \LocalService\LocalSettings\TemporaryInterne..... endommagé
apparition d'une fenêtre : La désinfection de C:\Programfiles\ZDF\mmxrx2.exe infectés par le virus Trojan-Downloader.win32.UB.jl est impossible. Effacement définitif OUI/NON ??? (Puis-je effacer sans risque ???, sinon quelles précautions prendre ???)
après avoir choisi "NON" craignant de commettre l'irréparable...
C:\Programfiles\ZDF\rawr.exe
C:\WINDOWS\smsc.exe detecte-Backdoor.win32.l...
C:\WINDOWS\system32\awvvs.dll
\eraseme_13110.exe
\gebyy-dll
\geeba.dll
\mlljh.dll
\pmnlm.dll
ssqpm.dll
TFTP 2056
2084
2292
2324
2428
2464
2476
3024
3444
4028

\vtstr.dll
\vtuts.dll
\mlljh.dll.avp


Voilà... je n'y connais rien et me demande si je peux sans risque demander l'effacement complet du virus détecté quant le message désinfection impossible est également présent...
Par ailleurs y-a-til problème de compatibilité avec club-internet quand je souhaite installer Spybot S&D ou Spyblaster ???
Ce qui est très énervant aussi c'est l'apparition systématique de message d'alerte impossible à enlever...

Merci de votre aide !!!

Autres pages sur : trojan downloader win32conhook desinfection impossible

24 Octobre 2005 16:16:46

Bonjour,

Fais tes scans en mode sans échec et supprime tout ce qu'ils trouvent
(Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

------------------------------------------

Si ça suffit pas :

Télécharge le programme >>Hijackthis 1.99.1<<

Dézippe-le et mets-le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )

Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller
29 Octobre 2005 12:12:27

le log en question.... meci à toi !!!

Logfile of HijackThis v1.99.1
Scan saved at 21:17:54, on 28/10/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\smsc.exe
C:\WINDOWS\Anvshell.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\exe82.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\mlljh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [eciv] C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [elos] C:\WINDOWS\exe82.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f004.mail.caramail.lycos.fr/app/uploader/FileUpl...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flas...
O20 - Winlogon Notify: mlljh - C:\WINDOWS\SYSTEM32\mlljh.dll
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Contenus similaires
29 Octobre 2005 19:37:56

Plusieurs infections.

Fais déjà ça :

1/ Télécharge VundoFix.exe et mets-le sur le bureau.

2/ Double-clic sur VundoFix.exe
Cela créera un dossier VundoFix sur le bureau

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

4/ Ouvre le dossier VundoFix et double-clic sur KillVundo.bat
Tu auras cet avertissement :

Citation :
VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....


Appuie sur la touche Entrée
Ensuite tu auras ce texte :

Citation :

Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.


Tape exactement ceci : C:\WINDOWS\SYSTEM32\mlljh.dll

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite tu auras ce texte :
Citation :
Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.


Tape exactement ceci : C:\WINDOWS\SYSTEM32\hjllm.*

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite HijackThis va s'ouvrir.
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\mlljh.dll

O20 - Winlogon Notify: mlljh - C:\WINDOWS\SYSTEM32\mlljh.dll


Ensuite ferme Hijackthis et appuie sur une touche pour redémarrer le PC.
Cela risque de provoquer un écran bleu d'erreur Windows, c'est normal !

Après redémarrage, poste un nouveau rapport HJT.
22 Novembre 2005 13:49:18

bonjour et ... merci.... pb je n'arrive pas à ouvrir en mode sans echec : en redémarrant tout en tapant sur F8, voici le message qui s'affiche : 'please select boot device :
- 1st Floppy drive
- PS-HL-DT-STDVD-ROM GDR8161B
- SM-SAMSUNG CD-R/RW SW-248F
- PM-IC35L120AVV207-0
- Intel UNDI, PXE-2.0 (build 082) '

Que dois-je sélectionner ??? (move to selection boot device or ESC to boot using defaults)

alors j'ai sélectionné ESC et ai redemarré 'normalement' (et pas en mode sans echec) . J'ai tout de même lancé l'application VundoFix et lancé le premier script puis enter puis F6 puis enter, mais alors là plus rien ne suit comme tu m'as indiqué... et je n'y comprends plus rien (fonctions delete non reconnue, demande de relancer Hijackthis, mais il n'y a plus rien à l'écran, etc...). Du coup comme indiqué j'ai éteinds l'ordi et l'ai redemarré normalement.

Actu je suis confronté toujours aux mêmes problèmes plus une agression très forte de pop-ups qui n'arretent pas de s'afficher sur mon écran.... HELP !!!!!!
Par précaution je te renvoie un 'logHijackthis up-to-date :

Logfile of HijackThis v1.99.1
Scan saved at 13:10:15, on 22/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\smsc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Anvshell.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\exe82.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AntiViral Toolkit Pro\avpm.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\awtsq.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\mllmm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [eciv] C:\WINDOWS\exe82.exe
O4 - HKLM\..\Run: [elos] C:\WINDOWS\exe82.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUpl...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flas...
O20 - Winlogon Notify: awtsq - C:\WINDOWS\SYSTEM32\awtsq.dll
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\jt4607hse.dll
O20 - Winlogon Notify: mllmm - C:\WINDOWS\System32\mllmm.dll
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

MERCI ENCORE et j'espère que je vais finir avec ton aide par trouver une solution !

JMarc
22 Novembre 2005 21:45:40

Bonsoir,

t'es vachement infecté

pour le mode sans échec : dans ton cas faut appuyer sur la touche F8 juste après la disparition du BIOS et avant l'apparition du logo Windows.

si t'y arrives pas, y'a une autre façon pour redémarrer en mode sans échec :
redémarrer en mode sans échec

---------------------------------------------------

ATTENTION d'après les lignes suivantes :
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\awtsq.dll
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\mllmm.dll

O20 - Winlogon Notify: awtsq - C:\WINDOWS\SYSTEM32\awtsq.dll
O20 - Winlogon Notify: mllmm - C:\WINDOWS\System32\mllmm.dll

les noms à taper ont changé :
maintenant c'est :

C:\WINDOWS\System32\mllmm.dll
puis
C:\WINDOWS\SYSTEM32\mmllm.*
puis fixer les lignes
O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\mllmm.dll
O20 - Winlogon Notify: mllmm - C:\WINDOWS\System32\mllmm.dll



ensuite refaire la manip avec :

C:\WINDOWS\system32\awtsq.dll
puis
C:\WINDOWS\system32\qstwa.*
puis fixer les lignes
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\awtsq.dll
O20 - Winlogon Notify: awtsq - C:\WINDOWS\SYSTEM32\awtsq.dll


---------------------------------------------------

de plus tu as une infection de type VX2.Look2Me très coriace
ligne O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\jt4607hse.dll qui change de nom sans cesse

essaie Spy Sweeper
parfois il réussit à le supprimer.

---------------------------------------------------

et il restera encore des trucs à virer !

1/ Télécharge et installe Kaspersky Antivirus Personal (version d'évaluation 1 mois)

2/ Mets-le à jour

3/ Redémarre en mode sans échec, lance un scan avec Kaspersky et répare ou supprime tout ce qu'il trouve

4/ Redémarre normalement.

enfin poste un nouveau rapport HJT.
6 Décembre 2005 22:42:22

Bonjour à tous, donc voilà moi aussi j'ai attrappé ce Trojan Downloader, le formatage ne sert à rien si ce n'est que je peut + ou - profiter de mon pc 1/2 journée, donc voilà j'ai installé Hijack et j'ai fait le scan, donc si quelqu'un pourrait bien m'aidé pour la suite. Merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 22:01:34, on 6/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\shost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\telnet24.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
C:\Documents and Settings\Big Bo$s\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\sstus.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [Telnet24] telnet24.exe
O4 - HKLM\..\RunServices: [Telnet24] telnet24.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{97FF2E50-D7F2-4914-9B37-4B0BF6A3FBAA}: NameServer = 193.121.171.135 194.119.228.67
O20 - Winlogon Notify: sstus - C:\WINDOWS\SYSTEM32\sstus.dll
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe
6 Décembre 2005 22:54:52

(Attention, c'est pas forcément F8 pour boot en sans échec.. Chez moi F8 c'est pour choisir depuis quel disque physique je veux boot.. Et c'est F5 pour choisir mode sans échec, sans échec avec prise en charge réseau, ...)

Edit : C'était juste pour information si jamais. Lol
8 Décembre 2005 10:32:17

Salut,

Tout d'abord, extrais hijackthis.exe dans un dossier dédié (ou il n'y a que lui dans le dossier), ne le laisse surtout pas dans un dossier temporaire (c'est à dire, dans le fichier zip, mais extrais le !!)

Redémarre en mode sans échec.
Citation :

Redémarre l'ordinateur. Après les écritures du BIOS, appuyes sur F8 (ou F5 si F8 marche pas) pour arriver à un menu avec des écritures blanches sur un fond noir.

Dans ce menu, tu dois pouvoir choisir le mode sans échec (celà se passe avec les flèches et Entrée pour valider).

Le démarrage en mode sans échec est souvent relativement long. Si tu as des écritures blanches bizarres, ne t'inquiètes pas.
Prend juste ton mal en patience. ;-)



Ensuite, relance HijackThis, coche ces lignes et appuis sur Fix Checked :

O4 - HKLM\..\Run: [Telnet24] telnet24.exe
O4 - HKLM\..\RunServices: [Telnet24] telnet24.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe


Ensuite, supprime ces fichiers :
C:\WINDOWS\shost.exe
telnet24.exe
(attention à l'ecriture EXACTE des noms de fichiers !)

Ensuite, tu as une infection Vundo je crois, donc fais ceci :

Citation :

1/ Télécharge VundoFix.exe et mets-le sur le bureau.

2/ Double-clic sur VundoFix.exe
Cela créera un dossier VundoFix sur le bureau

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

4/ Ouvre le dossier VundoFix et double-clic sur KillVundo.bat
Tu auras cet avertissement :

Citation :

VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....



Appuie sur la touche Entrée
Ensuite tu auras ce texte :

Citation :

Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\sstus.dll

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite tu auras ce texte :

Citation :

Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\sutss.*


Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite HijackThis va s'ouvrir.
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\sstus.dll

O20 - Winlogon Notify: sstus - C:\WINDOWS\SYSTEM32\sstus.dll


Ensuite ferme Hijackthis et appuie sur une touche pour redémarrer le PC.
Cela provoquera un écran bleu d'erreur Windows, c'est normal !

Après redémarrage, poste un nouveau rapport HJT.
10 Décembre 2005 01:09:04

Voilà j'ai suivi ce que tu m'as dit, juste le fichier shost je ne l'ai pas trouvé, il y a bien 1 fichier qui s'appelle C:\WINDOWS\Prefetch\SHOST.EXE-30DAF352.pf, et puis lors du scan de hijack en mode sans échecs il ne m'a pas inscrit la ligne
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\sstus.dll Je me suis permis d'installer Spy Sweeper pour faire 1 peu de ménage.
Merci d'avance et désolé pour ce dérengement. Bonne soirée


Logfile of HijackThis v1.99.1
Scan saved at 13:39:17, on 10/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\shost.exe
F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\pgm\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\byxut.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.flyordie.com/pub/dl/msjavx86.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{97FF2E50-D7F2-4914-9B37-4B0BF6A3FBAA}: NameServer = 130.244.127.161 130.244.127.169
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

10 Décembre 2005 16:33:18

Salut,

Fix ces deux lignes :
O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\byxut.dll (file missing)

O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe


Puis fais ceci :
Démarrer -> Exécuter -> et tape ceci :
sc stop ServiceHost
sc config ServiceHost start= disabled
sc delete ServiceHost

Ensuite supprime le fichier :
C:\WINDOWS\shost.exe
et le fichier shost.exe que tu trouvais dans l'autre dossier.
(peut être que le fichier est un fichier caché, dans ce cas, fais ceci pour afficher tous les fichiers :
Citation :
Dans l'explorateur de Windows (par ex) :
Outils -> Options des dossier -> onglet Affichage

Coche : Afficher les fichiers cachés
Décoche : Masquer les extensions des types connus
Décoche : Masquer les fichiers protégés du système d'exploitation


10 Décembre 2005 18:19:07

Donc voilà j'ai fait ce que tu m'as dit j'ai refait 1 scan et ça me donne le résultat ci-dessous. Et je voudrais juste te demander en plus une dernière chose, il y a 1 fichier nommé winapi23, quand je le supprime il réapparrait au démarrage de windows, et il extrait 3 autres fichiers, je ne sais pas si c'est quelque chose de grave ou pas. Merci d'avance pour le temps que tu me consacres.

Logfile of HijackThis v1.99.1
Scan saved at 18:14:12, on 10/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\pgm\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\yayww.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.flyordie.com/pub/dl/msjavx86.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{97FF2E50-D7F2-4914-9B37-4B0BF6A3FBAA}: NameServer = 130.244.127.161 130.244.127.169
O20 - Winlogon Notify: yayww - C:\WINDOWS\SYSTEM32\yayww.dll
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

12 Décembre 2005 09:37:47

Salut,

Tu as une infection Vundo maintenant !

Fais ceci :

Citation :

1/ Télécharge VundoFix.exe et mets-le sur le bureau.

2/ Double-clic sur VundoFix.exe
Cela créera un dossier VundoFix sur le bureau

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

4/ Ouvre le dossier VundoFix et double-clic sur KillVundo.bat
Tu auras cet avertissement :

Citation :

VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....



Appuie sur la touche Entrée
Ensuite tu auras ce texte :

Citation :

Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\yayww.dll

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite tu auras ce texte :

Citation :

Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\wwyay.*


Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite HijackThis va s'ouvrir.
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\yayww.dll

O20 - Winlogon Notify: yayww - C:\WINDOWS\SYSTEM32\yayww.dll


Ensuite ferme Hijackthis et appuie sur une touche pour redémarrer le PC.
Cela provoquera un écran bleu d'erreur Windows, c'est normal !

Après redémarrage, poste un nouveau rapport HJT.
13 Décembre 2005 10:38:23

Logfile of HijackThis v1.99.1
Scan saved at 10:36:02, on 13/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\pgm\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\oppoo.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x....
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.flyordie.com/pub/dl/msjavx86.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{97FF2E50-D7F2-4914-9B37-4B0BF6A3FBAA}: NameServer = 130.244.127.161 130.244.127.169
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

13 Décembre 2005 12:31:23

dernier relais lol telecharge vundo fix

Double-déclic VundoFix.exe

Cliquetez ici (http://www.atribune.org/downloads/VundoFix.exe) pour télécharger svp téléchargent VundoFix.exe.
Économiser le VundoFix.exe classez à votre dessus de bureau.
Double-déclic VundoFix.exe pour extraire les dossiers.
Ceci créera une chemise de VundoFix sur votre dessus de bureau.
Après que les dossiers soient extraits, rechargez svp votre ordinateur dans le mode sûr. Vous pouvez faire ceci en remettant en marche votre ordinateur et en tapant continuellement la clef F8 jusqu'à ce qu'un menu apparaisse. Employez votre touche de déplacement du curseur haute pour accentuer le mode puis le coup sûrs entrent.
Une fois en mode sûr ouvrez la chemise et le doubleclick de VundoFix sur KillVundo.bat
Vous serez d'abord présentés avec un avertissement qui devrait ressembler à ceci
VundoFix V2.13 par Atri
En employant VundoFix vous convenez que vous faites ainsi à votre propre risque
Serrez entrent pour continuer....


Appuyez sur en ce moment la touche de pénétrer dans sur votre clavier une fois.

Après vous verrez:
Veuillez saisir le filepath comme instruit par le personnel de forum et serrez alors entrent:
Veuillez en ce moment le type le chemin suivant de dossier (veillez à l'entrer dans exactement en tant que ci-dessous!): C:\WINDOWS\system32\oppoo.dll

La pression entrent pour continuer la difficulté.
Après vous verrez:
Veuillez saisir le deuxième filepath comme instruit près
le personnel de forum serrent alors entrent:

Veuillez en ce moment le type le chemin suivant de dossier (veillez à l'entrer dans exactement comme below!):C:\WINDOWS\system32\ooppo. *


La pression entrent pour continuer la difficulté.


Si vous avez un fonctionnement de dresseur de manuscrit, vous pouvez obtenir un avertissement au sujet d'un manuscrit malveillant. Permettez au manuscrit de courir. Il n'est pas malveillant.


La difficulté courra alors HijackThis s'ouvrira, si elle ne s'ouvre pas automatiquement pour le satisfaire ouvert manuellement.

fix ceci


O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\oppoo.dll (file missing)

13 Décembre 2005 21:32:29

Merci à toi, donc voilà ce qu'il me reste mtn.

Logfile of HijackThis v1.99.1
Scan saved at 21:29:28, on 13/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
F:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\pgm\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x....
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.flyordie.com/pub/dl/msjavx86.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O17 - HKLM\System\CCS\Services\Tcpip\..\{97FF2E50-D7F2-4914-9B37-4B0BF6A3FBAA}: NameServer = 130.244.127.161 130.244.127.169
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - F:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

15 Décembre 2005 14:35:06

Salut,

Ton log a l'air d'être propre maintenant.
As tu encore des soucis ??

PS alessio : c'est quoi cette traduction que tu nous as sorti de la poubelle ? lol
15 Décembre 2005 14:36:13

mdr ja vais la flemme de copier les etapes j ai ete sur un site mettre le dossier infecter et voila le resulta ptdr
15 Décembre 2005 17:18:41

Ben je vous remercie énormément tout fonctionne correctement :)  et puis pour la traduction venue de Mars pas grave du moment qu'elle est efficace :p  allé à une prochaine

wassalamo 3alaïkom
15 Décembre 2005 23:09:30

Citation :
psy4trous a écrit :
wassalamo 3alaïkom



Mais bien sûr...

<j'ai pas mon dictionnaire plutonien sur moi...>
16 Décembre 2005 11:51:58

:lol:  et apres on dis que j ai un language poubelique mdr
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS