Malware : Virtumonde et peut être plus
Fermé
desespéréeduPC
-
22 déc. 2008 à 00:22
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 - 23 déc. 2008 à 10:44
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 - 23 déc. 2008 à 10:44
Bonjour,
Mon PC est infecté par un virus ou spyware. Tout a commencé hier suite à l'ouverture d'un lien reçu dans un message instantané msn (je sais maintenant que c'était une erreur). Par la suite, des fenetres de publicités intempestives se sont ouvertes. Le virus a également envoyé le lien infecté à mes contacts msn. Depuis tout va mal.
D'après le logiciel Ad-aware, mon PC est infecté par le malware Virtumonde, mais Ad-aware ne semble pas capable de l'éradiquer après plusieurs analyses.
Il m'ai parfois impossible de me connecter à internet. Il a fallu que je lance une nouvelle analyse Ad-Aware pour pouvoir lancer internet explorer. Je me demande si le problème ne vient pas aussi d'Ad-aware mais j'ai peur de le supprimer, puis de ne plus du tout avoir accès à internet.
Merci par avance
Mon PC est infecté par un virus ou spyware. Tout a commencé hier suite à l'ouverture d'un lien reçu dans un message instantané msn (je sais maintenant que c'était une erreur). Par la suite, des fenetres de publicités intempestives se sont ouvertes. Le virus a également envoyé le lien infecté à mes contacts msn. Depuis tout va mal.
D'après le logiciel Ad-aware, mon PC est infecté par le malware Virtumonde, mais Ad-aware ne semble pas capable de l'éradiquer après plusieurs analyses.
Il m'ai parfois impossible de me connecter à internet. Il a fallu que je lance une nouvelle analyse Ad-Aware pour pouvoir lancer internet explorer. Je me demande si le problème ne vient pas aussi d'Ad-aware mais j'ai peur de le supprimer, puis de ne plus du tout avoir accès à internet.
Merci par avance
A voir également:
- Malware : Virtumonde et peut être plus
- Malware byte - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Tor.jack malware - Forum Antivirus
- Roguekiller anti-malware - Télécharger - Antivirus & Antimalwares
- Anti malware service executable ram - Forum Antivirus
5 réponses
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
22 déc. 2008 à 00:23
22 déc. 2008 à 00:23
Télécharge le fichier d'installation d'HijackThis.
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux (ne fixe rien pour le moment !!)
Enregistre HJTInstall.exe sur ton bureau.
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Colle le rapport que tu viens de copier sur ce forum
Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
Tutoriaux (ne fixe rien pour le moment !!)
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
22 déc. 2008 à 11:33
22 déc. 2008 à 11:33
Bonjour
Pour avancer
Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php
http://www.malekal.com/tutorial_SmitFraudfix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.
=============================
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé,
redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse
=================================
Télécharge SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
--->Double-clique sur SDFix.exe et choisis "Install" .
( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )
Puis une fois l'installe faite, redémarre en mode sans échec .
Comment aller en Mode sans échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presse une touche pour redémarrer quand il te le sera demandé .
Le PC va mettre du temps avant de démarrer ( c'est normal), après le chargement du Bureau presse une touche lorsque "Finished" s'affiche .
Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Poste ce dernier dans ta prochaine réponse.
+++++++
Pour avancer
Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php
http://www.malekal.com/tutorial_SmitFraudfix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.
=============================
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé,
redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse
=================================
Télécharge SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
--->Double-clique sur SDFix.exe et choisis "Install" .
( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )
Puis une fois l'installe faite, redémarre en mode sans échec .
Comment aller en Mode sans échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presse une touche pour redémarrer quand il te le sera demandé .
Le PC va mettre du temps avant de démarrer ( c'est normal), après le chargement du Bureau presse une touche lorsque "Finished" s'affiche .
Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Poste ce dernier dans ta prochaine réponse.
+++++++
Merci à tous deux parce que je vous assure que c'est l'horreur, depuis la première réponse je n'ai pas réussit à installer MBAM, internet explorer bug et s'éteint à chaque fois que j'essaye d'aller sur une page d'installation du logiciel, j'ai même essayé de le télécharger via un autre site, même problème.
J'ai par contre réussit (laborieusementà à lance Spybot, sans réussir à faire les mises à jour, il m'indique avoir rencontré :
Win32.Ceelnject.lk et Win.32.VanBot et me demande s'il doit les tuer ou seulement m'avertir à nouveau
Que dois-je faire ?
J'ai par contre réussit (laborieusementà à lance Spybot, sans réussir à faire les mises à jour, il m'indique avoir rencontré :
Win32.Ceelnject.lk et Win.32.VanBot et me demande s'il doit les tuer ou seulement m'avertir à nouveau
Que dois-je faire ?
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
>
desespéréeduPC
22 déc. 2008 à 12:26
22 déc. 2008 à 12:26
Tu as essaye de faire ce que je t'ai demande ?
desespéréeduPC
>
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
22 déc. 2008 à 15:57
22 déc. 2008 à 15:57
Merci Marie,
Voici d'abord le rapport Smitfraud :
SmitFraudFix v2.387
Rapport fait à 15:51:09,50, 22/12/2008
Executé à partir de C:\Documents and Settings\BORDILS RUNGIS\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32360Safi.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\program files\internet explorer\iexplore.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\msiexec.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\fxstaller.exe
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Documents and Settings\BORDILS RUNGIS\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\Apoint\Apntex.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Documents and Settings\BORDILS RUNGIS\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\BORDILS RUNGIS\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BORDILS RUNGIS
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BORDIL~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BORDILS RUNGIS\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BORDIL~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\MW\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=",C:\\WINDOWS\\system32\\zogonaha.dll lnpzqo.dll"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AF124D77-BCB2-4DFD-8203-7EEB78A6429F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C69AF5BF-F417-402D-AD45-7041FC3BEC29}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AF124D77-BCB2-4DFD-8203-7EEB78A6429F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C69AF5BF-F417-402D-AD45-7041FC3BEC29}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AF124D77-BCB2-4DFD-8203-7EEB78A6429F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C69AF5BF-F417-402D-AD45-7041FC3BEC29}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Voici d'abord le rapport Smitfraud :
SmitFraudFix v2.387
Rapport fait à 15:51:09,50, 22/12/2008
Executé à partir de C:\Documents and Settings\BORDILS RUNGIS\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32360Safi.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\program files\internet explorer\iexplore.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\msiexec.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\fxstaller.exe
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Documents and Settings\BORDILS RUNGIS\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Program Files\Apoint\Apntex.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Documents and Settings\BORDILS RUNGIS\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\BORDILS RUNGIS\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BORDILS RUNGIS
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BORDIL~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\BORDILS RUNGIS\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BORDIL~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\MW\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=",C:\\WINDOWS\\system32\\zogonaha.dll lnpzqo.dll"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AF124D77-BCB2-4DFD-8203-7EEB78A6429F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C69AF5BF-F417-402D-AD45-7041FC3BEC29}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AF124D77-BCB2-4DFD-8203-7EEB78A6429F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C69AF5BF-F417-402D-AD45-7041FC3BEC29}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AF124D77-BCB2-4DFD-8203-7EEB78A6429F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C69AF5BF-F417-402D-AD45-7041FC3BEC29}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Voici le raport VBG :
[12/22/2008, 16:01:35] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\BORDILS RUNGIS\Bureau\VirtumundoBeGone.exe" )
[12/22/2008, 16:01:43] - Detected System Information:
[12/22/2008, 16:01:44] - Windows Version: 5.1.2600, Service Pack 3
[12/22/2008, 16:01:44] - Current Username: BORDILS RUNGIS (Admin)
[12/22/2008, 16:01:44] - Windows is in NORMAL mode.
[12/22/2008, 16:01:44] - Searching for Browser Helper Objects:
[12/22/2008, 16:01:44] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:01:44] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:01:44] - BHO 3: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\vtUOFyxV
[12/22/2008, 16:01:44] - Found: HKLM\...\Winlogon\Notify\vtUOFyxV - This is probably Virtumundo.
[12/22/2008, 16:01:44] - Assigning {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} MSEvents Object
[12/22/2008, 16:01:44] - BHO list has been changed! Starting over...
[12/22/2008, 16:01:44] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:01:44] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:01:44] - BHO 3: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (MSEvents Object)
[12/22/2008, 16:01:44] - ALERT: Found MSEvents Object!
[12/22/2008, 16:01:44] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:01:44] - BHO 5: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:01:44] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:01:44] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:01:44] - BHO 8: {AF3290B6-31D4-4FFC-8707-28D79218A32E} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:01:44] - BHO 9: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:01:44] - BHO 10: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:01:44] - Finished Searching Browser Helper Objects
[12/22/2008, 16:01:44] - *** Detected MSEvents Object
[12/22/2008, 16:01:44] - Trying to remove MSEvents Object...
[12/22/2008, 16:01:45] - Terminating Process: IEXPLORE.EXE
[12/22/2008, 16:01:48] - Terminating Process: RUNDLL32.EXE
[12/22/2008, 16:01:49] - Disabling Automatic Shell Restart
[12/22/2008, 16:01:51] - Terminating Process: EXPLORER.EXE
[12/22/2008, 16:01:53] - Suspending the NT Session Manager System Service
[12/22/2008, 16:01:56] - Terminating Windows NT Logon/Logoff Manager
[12/22/2008, 16:02:00] - Re-enabling Automatic Shell Restart
[12/22/2008, 16:02:02] - File to disable: C:\WINDOWS\system32\vtUOFyxV.dll
[12/22/2008, 16:02:02] - Renaming C:\WINDOWS\system32\vtUOFyxV.dll -> C:\WINDOWS\system32\vtUOFyxV.dll.vir
[12/22/2008, 16:02:03] - File successfully renamed!
[12/22/2008, 16:02:03] - Removing HKLM\...\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:03] - Removing HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:05] - Adding Kill Bit for ActiveX for GUID: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:05] - Deleting ATLEvents/MSEvents Registry entries
[12/22/2008, 16:02:05] - Removing HKLM\...\Winlogon\Notify\vtUOFyxV
[12/22/2008, 16:02:05] - Searching for Browser Helper Objects:
[12/22/2008, 16:02:05] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:02:05] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:02:05] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:02:05] - BHO 4: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:02:05] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:02:05] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:02:05] - BHO 7: {AF3290B6-31D4-4FFC-8707-28D79218A32E} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:02:05] - BHO 8: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:02:05] - BHO 9: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:02:05] - Finished Searching Browser Helper Objects
[12/22/2008, 16:02:05] - Finishing up...
[12/22/2008, 16:02:05] - A restart is needed.
[12/22/2008, 16:02:05] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[12/22/2008, 16:06:01] - Attempting to Restart via STOP error (Blue Screen!)
[12/22/2008, 16:01:35] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\BORDILS RUNGIS\Bureau\VirtumundoBeGone.exe" )
[12/22/2008, 16:01:43] - Detected System Information:
[12/22/2008, 16:01:44] - Windows Version: 5.1.2600, Service Pack 3
[12/22/2008, 16:01:44] - Current Username: BORDILS RUNGIS (Admin)
[12/22/2008, 16:01:44] - Windows is in NORMAL mode.
[12/22/2008, 16:01:44] - Searching for Browser Helper Objects:
[12/22/2008, 16:01:44] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:01:44] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:01:44] - BHO 3: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\vtUOFyxV
[12/22/2008, 16:01:44] - Found: HKLM\...\Winlogon\Notify\vtUOFyxV - This is probably Virtumundo.
[12/22/2008, 16:01:44] - Assigning {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} MSEvents Object
[12/22/2008, 16:01:44] - BHO list has been changed! Starting over...
[12/22/2008, 16:01:44] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:01:44] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:01:44] - BHO 3: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (MSEvents Object)
[12/22/2008, 16:01:44] - ALERT: Found MSEvents Object!
[12/22/2008, 16:01:44] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:01:44] - BHO 5: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:01:44] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:01:44] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:01:44] - BHO 8: {AF3290B6-31D4-4FFC-8707-28D79218A32E} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:01:44] - BHO 9: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:01:44] - BHO 10: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:01:44] - Finished Searching Browser Helper Objects
[12/22/2008, 16:01:44] - *** Detected MSEvents Object
[12/22/2008, 16:01:44] - Trying to remove MSEvents Object...
[12/22/2008, 16:01:45] - Terminating Process: IEXPLORE.EXE
[12/22/2008, 16:01:48] - Terminating Process: RUNDLL32.EXE
[12/22/2008, 16:01:49] - Disabling Automatic Shell Restart
[12/22/2008, 16:01:51] - Terminating Process: EXPLORER.EXE
[12/22/2008, 16:01:53] - Suspending the NT Session Manager System Service
[12/22/2008, 16:01:56] - Terminating Windows NT Logon/Logoff Manager
[12/22/2008, 16:02:00] - Re-enabling Automatic Shell Restart
[12/22/2008, 16:02:02] - File to disable: C:\WINDOWS\system32\vtUOFyxV.dll
[12/22/2008, 16:02:02] - Renaming C:\WINDOWS\system32\vtUOFyxV.dll -> C:\WINDOWS\system32\vtUOFyxV.dll.vir
[12/22/2008, 16:02:03] - File successfully renamed!
[12/22/2008, 16:02:03] - Removing HKLM\...\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:03] - Removing HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:05] - Adding Kill Bit for ActiveX for GUID: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:05] - Deleting ATLEvents/MSEvents Registry entries
[12/22/2008, 16:02:05] - Removing HKLM\...\Winlogon\Notify\vtUOFyxV
[12/22/2008, 16:02:05] - Searching for Browser Helper Objects:
[12/22/2008, 16:02:05] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:02:05] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:02:05] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:02:05] - BHO 4: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:02:05] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:02:05] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:02:05] - BHO 7: {AF3290B6-31D4-4FFC-8707-28D79218A32E} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:02:05] - BHO 8: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:02:05] - BHO 9: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:02:05] - Finished Searching Browser Helper Objects
[12/22/2008, 16:02:05] - Finishing up...
[12/22/2008, 16:02:05] - A restart is needed.
[12/22/2008, 16:02:05] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[12/22/2008, 16:06:01] - Attempting to Restart via STOP error (Blue Screen!)
J'ai lancé Virtumondobegone une seconde fois, n'étant pas sure que la première fois cela ait fonctionné mais il semble que si, voici le deuxième rapport :
[12/22/2008, 16:01:35] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\BORDILS RUNGIS\Bureau\VirtumundoBeGone.exe" )
[12/22/2008, 16:01:43] - Detected System Information:
[12/22/2008, 16:01:44] - Windows Version: 5.1.2600, Service Pack 3
[12/22/2008, 16:01:44] - Current Username: BORDILS RUNGIS (Admin)
[12/22/2008, 16:01:44] - Windows is in NORMAL mode.
[12/22/2008, 16:01:44] - Searching for Browser Helper Objects:
[12/22/2008, 16:01:44] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:01:44] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:01:44] - BHO 3: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\vtUOFyxV
[12/22/2008, 16:01:44] - Found: HKLM\...\Winlogon\Notify\vtUOFyxV - This is probably Virtumundo.
[12/22/2008, 16:01:44] - Assigning {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} MSEvents Object
[12/22/2008, 16:01:44] - BHO list has been changed! Starting over...
[12/22/2008, 16:01:44] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:01:44] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:01:44] - BHO 3: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (MSEvents Object)
[12/22/2008, 16:01:44] - ALERT: Found MSEvents Object!
[12/22/2008, 16:01:44] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:01:44] - BHO 5: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:01:44] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:01:44] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:01:44] - BHO 8: {AF3290B6-31D4-4FFC-8707-28D79218A32E} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:01:44] - BHO 9: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:01:44] - BHO 10: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:01:44] - Finished Searching Browser Helper Objects
[12/22/2008, 16:01:44] - *** Detected MSEvents Object
[12/22/2008, 16:01:44] - Trying to remove MSEvents Object...
[12/22/2008, 16:01:45] - Terminating Process: IEXPLORE.EXE
[12/22/2008, 16:01:48] - Terminating Process: RUNDLL32.EXE
[12/22/2008, 16:01:49] - Disabling Automatic Shell Restart
[12/22/2008, 16:01:51] - Terminating Process: EXPLORER.EXE
[12/22/2008, 16:01:53] - Suspending the NT Session Manager System Service
[12/22/2008, 16:01:56] - Terminating Windows NT Logon/Logoff Manager
[12/22/2008, 16:02:00] - Re-enabling Automatic Shell Restart
[12/22/2008, 16:02:02] - File to disable: C:\WINDOWS\system32\vtUOFyxV.dll
[12/22/2008, 16:02:02] - Renaming C:\WINDOWS\system32\vtUOFyxV.dll -> C:\WINDOWS\system32\vtUOFyxV.dll.vir
[12/22/2008, 16:02:03] - File successfully renamed!
[12/22/2008, 16:02:03] - Removing HKLM\...\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:03] - Removing HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:05] - Adding Kill Bit for ActiveX for GUID: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:05] - Deleting ATLEvents/MSEvents Registry entries
[12/22/2008, 16:02:05] - Removing HKLM\...\Winlogon\Notify\vtUOFyxV
[12/22/2008, 16:02:05] - Searching for Browser Helper Objects:
[12/22/2008, 16:02:05] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:02:05] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:02:05] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:02:05] - BHO 4: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:02:05] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:02:05] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:02:05] - BHO 7: {AF3290B6-31D4-4FFC-8707-28D79218A32E} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:02:05] - BHO 8: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:02:05] - BHO 9: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:02:05] - Finished Searching Browser Helper Objects
[12/22/2008, 16:02:05] - Finishing up...
[12/22/2008, 16:02:05] - A restart is needed.
[12/22/2008, 16:02:05] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[12/22/2008, 16:06:01] - Attempting to Restart via STOP error (Blue Screen!)
[12/22/2008, 16:51:11] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\BORDILS RUNGIS\Bureau\VirtumundoBeGone.exe" )
[12/22/2008, 16:51:17] - Detected System Information:
[12/22/2008, 16:51:17] - Windows Version: 5.1.2600, Service Pack 3
[12/22/2008, 16:51:17] - Current Username: BORDILS RUNGIS (Admin)
[12/22/2008, 16:51:17] - Windows is in NORMAL mode.
[12/22/2008, 16:51:17] - Searching for Browser Helper Objects:
[12/22/2008, 16:51:17] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:51:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:51:17] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:51:17] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:51:17] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:51:17] - BHO 3: {55BA204B-8C31-4022-9985-492594F33AB5} ()
[12/22/2008, 16:51:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:51:17] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:51:17] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:51:17] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:51:17] - BHO 5: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:51:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:51:17] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:51:17] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:51:17] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:51:17] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:51:17] - BHO 8: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:51:17] - BHO 9: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:51:17] - Finished Searching Browser Helper Objects
[12/22/2008, 16:51:17] - Finishing up...
[12/22/2008, 16:51:17] - Nothing found! Exiting...
================
Je continue
[12/22/2008, 16:01:35] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\BORDILS RUNGIS\Bureau\VirtumundoBeGone.exe" )
[12/22/2008, 16:01:43] - Detected System Information:
[12/22/2008, 16:01:44] - Windows Version: 5.1.2600, Service Pack 3
[12/22/2008, 16:01:44] - Current Username: BORDILS RUNGIS (Admin)
[12/22/2008, 16:01:44] - Windows is in NORMAL mode.
[12/22/2008, 16:01:44] - Searching for Browser Helper Objects:
[12/22/2008, 16:01:44] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:01:44] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:01:44] - BHO 3: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\vtUOFyxV
[12/22/2008, 16:01:44] - Found: HKLM\...\Winlogon\Notify\vtUOFyxV - This is probably Virtumundo.
[12/22/2008, 16:01:44] - Assigning {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} MSEvents Object
[12/22/2008, 16:01:44] - BHO list has been changed! Starting over...
[12/22/2008, 16:01:44] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:01:44] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:01:44] - BHO 3: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} (MSEvents Object)
[12/22/2008, 16:01:44] - ALERT: Found MSEvents Object!
[12/22/2008, 16:01:44] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:01:44] - BHO 5: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:01:44] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:01:44] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:01:44] - BHO 8: {AF3290B6-31D4-4FFC-8707-28D79218A32E} ()
[12/22/2008, 16:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:01:44] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:01:44] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:01:44] - BHO 9: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:01:44] - BHO 10: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:01:44] - Finished Searching Browser Helper Objects
[12/22/2008, 16:01:44] - *** Detected MSEvents Object
[12/22/2008, 16:01:44] - Trying to remove MSEvents Object...
[12/22/2008, 16:01:45] - Terminating Process: IEXPLORE.EXE
[12/22/2008, 16:01:48] - Terminating Process: RUNDLL32.EXE
[12/22/2008, 16:01:49] - Disabling Automatic Shell Restart
[12/22/2008, 16:01:51] - Terminating Process: EXPLORER.EXE
[12/22/2008, 16:01:53] - Suspending the NT Session Manager System Service
[12/22/2008, 16:01:56] - Terminating Windows NT Logon/Logoff Manager
[12/22/2008, 16:02:00] - Re-enabling Automatic Shell Restart
[12/22/2008, 16:02:02] - File to disable: C:\WINDOWS\system32\vtUOFyxV.dll
[12/22/2008, 16:02:02] - Renaming C:\WINDOWS\system32\vtUOFyxV.dll -> C:\WINDOWS\system32\vtUOFyxV.dll.vir
[12/22/2008, 16:02:03] - File successfully renamed!
[12/22/2008, 16:02:03] - Removing HKLM\...\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:03] - Removing HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:05] - Adding Kill Bit for ActiveX for GUID: {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
[12/22/2008, 16:02:05] - Deleting ATLEvents/MSEvents Registry entries
[12/22/2008, 16:02:05] - Removing HKLM\...\Winlogon\Notify\vtUOFyxV
[12/22/2008, 16:02:05] - Searching for Browser Helper Objects:
[12/22/2008, 16:02:05] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:02:05] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:02:05] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:02:05] - BHO 4: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:02:05] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:02:05] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:02:05] - BHO 7: {AF3290B6-31D4-4FFC-8707-28D79218A32E} ()
[12/22/2008, 16:02:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:02:05] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:02:05] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:02:05] - BHO 8: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:02:05] - BHO 9: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:02:05] - Finished Searching Browser Helper Objects
[12/22/2008, 16:02:05] - Finishing up...
[12/22/2008, 16:02:05] - A restart is needed.
[12/22/2008, 16:02:05] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[12/22/2008, 16:06:01] - Attempting to Restart via STOP error (Blue Screen!)
[12/22/2008, 16:51:11] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\BORDILS RUNGIS\Bureau\VirtumundoBeGone.exe" )
[12/22/2008, 16:51:17] - Detected System Information:
[12/22/2008, 16:51:17] - Windows Version: 5.1.2600, Service Pack 3
[12/22/2008, 16:51:17] - Current Username: BORDILS RUNGIS (Admin)
[12/22/2008, 16:51:17] - Windows is in NORMAL mode.
[12/22/2008, 16:51:17] - Searching for Browser Helper Objects:
[12/22/2008, 16:51:17] - BHO 1: {4474c49a-5f70-46a1-bc92-097318b2b818} ()
[12/22/2008, 16:51:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:51:17] - Checking for HKLM\...\Winlogon\Notify\toyedofi
[12/22/2008, 16:51:17] - Key not found: HKLM\...\Winlogon\Notify\toyedofi, continuing.
[12/22/2008, 16:51:17] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/22/2008, 16:51:17] - BHO 3: {55BA204B-8C31-4022-9985-492594F33AB5} ()
[12/22/2008, 16:51:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:51:17] - Checking for HKLM\...\Winlogon\Notify\efcBrSmK
[12/22/2008, 16:51:17] - Key not found: HKLM\...\Winlogon\Notify\efcBrSmK, continuing.
[12/22/2008, 16:51:17] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (Java(tm) Plug-In SSV Helper)
[12/22/2008, 16:51:17] - BHO 5: {8e914f62-5ba2-418a-9130-3a7532b2487b} ()
[12/22/2008, 16:51:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/22/2008, 16:51:17] - Checking for HKLM\...\Winlogon\Notify\lnpzqo
[12/22/2008, 16:51:17] - Key not found: HKLM\...\Winlogon\Notify\lnpzqo, continuing.
[12/22/2008, 16:51:17] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/22/2008, 16:51:17] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/22/2008, 16:51:17] - BHO 8: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[12/22/2008, 16:51:17] - BHO 9: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} (Windows Live Toolbar Helper)
[12/22/2008, 16:51:17] - Finished Searching Browser Helper Objects
[12/22/2008, 16:51:17] - Finishing up...
[12/22/2008, 16:51:17] - Nothing found! Exiting...
================
Je continue
pictom41
Messages postés
508
Date d'inscription
mercredi 7 mai 2008
Statut
Membre
Dernière intervention
26 décembre 2011
15
22 déc. 2008 à 11:13
22 déc. 2008 à 11:13
Le vaillant guerrier viens a ton secours XD
Télécharge MBAM dans la logithèque du forum section sécurité.
Dis moi :
Ton Windows est légal ?
Combien d'antivirus tu as ?
Télécharge Spybot S&D au même endroit que MBAM.
Fait des analyses complètes avec els deux programmes et poste moi les rapports.
Refait un Hijackthis après.
Télécharge MBAM dans la logithèque du forum section sécurité.
Dis moi :
Ton Windows est légal ?
Combien d'antivirus tu as ?
Télécharge Spybot S&D au même endroit que MBAM.
Fait des analyses complètes avec els deux programmes et poste moi les rapports.
Refait un Hijackthis après.
pimprenelle27
Messages postés
20857
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 502
22 déc. 2008 à 21:55
22 déc. 2008 à 21:55
désolé mais j'étais parti me coucher car je bossais et je suis rentré tard je te laisse entre de bonne mains.
Bonjour à tous,
Pour vous informer de la suite des évènements, et bien mon PC a fini par me lacher, j'ai terminer les instructions données, à savoir utiliser SDFix en mode sans échec , il est resté allumé plusieurs heures sans grande succès apparent.
Puis après avoir redémarrer mon PC normallement , une page est apparue soudainement avec le message suivant que je recopie ici :
"Un problème a ét détecté et windows a été arrêté ain de prévenir tout dommage sur votre ordinateur.
Si vous voyez cet écran d'erreur d'arrêt pour la première fois, redémarrez votre ordinateur.
Si cet écran apparait encore, suivez ces étapes :
Assurez-vous de disposer de suffisamment d'espace disque. Si un pilote est identifié dans le message d'arrêt, désactivez le pilote
ou contactez le fabricant pour obtenir les mises à jour du pilote.
Essayez de remplacer la carte vidéo.
Consultez votre revendeur de matériel pour obtenir toutes mises à jour du BIOS.
Désactivez les options de mémoire du BIOS telles que la mise en cache ou l'ombrage.
Si vous êtes obligé d'utiliser le mode sans échec pour supprimer ou désactiver des composants, redémarrez votre ordinateur,
appuyez sur F8 pour sélectionner les options de démarrage avancées, puis sélectionnez le Mode sans échec.
Informations techniques :
*** STOP: 0x0000007E (0x0000005, 0xF86EFD2A, 0xFDA204A8, 0xF8A201A4) "
Autant vous dire que c'est la merde !
Là je suis connectée sur un autre PC preté.
Si vous avez une idée de ce qui est arrivé, dites le moi.
Merci par avance
Pour vous informer de la suite des évènements, et bien mon PC a fini par me lacher, j'ai terminer les instructions données, à savoir utiliser SDFix en mode sans échec , il est resté allumé plusieurs heures sans grande succès apparent.
Puis après avoir redémarrer mon PC normallement , une page est apparue soudainement avec le message suivant que je recopie ici :
"Un problème a ét détecté et windows a été arrêté ain de prévenir tout dommage sur votre ordinateur.
Si vous voyez cet écran d'erreur d'arrêt pour la première fois, redémarrez votre ordinateur.
Si cet écran apparait encore, suivez ces étapes :
Assurez-vous de disposer de suffisamment d'espace disque. Si un pilote est identifié dans le message d'arrêt, désactivez le pilote
ou contactez le fabricant pour obtenir les mises à jour du pilote.
Essayez de remplacer la carte vidéo.
Consultez votre revendeur de matériel pour obtenir toutes mises à jour du BIOS.
Désactivez les options de mémoire du BIOS telles que la mise en cache ou l'ombrage.
Si vous êtes obligé d'utiliser le mode sans échec pour supprimer ou désactiver des composants, redémarrez votre ordinateur,
appuyez sur F8 pour sélectionner les options de démarrage avancées, puis sélectionnez le Mode sans échec.
Informations techniques :
*** STOP: 0x0000007E (0x0000005, 0xF86EFD2A, 0xFDA204A8, 0xF8A201A4) "
Autant vous dire que c'est la merde !
Là je suis connectée sur un autre PC preté.
Si vous avez une idée de ce qui est arrivé, dites le moi.
Merci par avance
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
23 déc. 2008 à 10:44
23 déc. 2008 à 10:44
Salut
Tu peux le demarrer en MSE ?
Je ne vois pas les rapports avec les fix que je t'ai fait passer
Nettoyage :
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
http://www.coupdepoucepc.com/modules/news/article.php?storyid=253
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
process.exe
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm
+ un log Hijackthis en Mode Normal
Tu peux le demarrer en MSE ?
Je ne vois pas les rapports avec les fix que je t'ai fait passer
Nettoyage :
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
http://www.coupdepoucepc.com/modules/news/article.php?storyid=253
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
process.exe
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm
+ un log Hijackthis en Mode Normal
22 déc. 2008 à 00:35
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:33:14, on 22/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\fxstaller.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\sysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\BORDILS RUNGIS\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\BORDILS RUNGIS\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\winamp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free2article.info
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://home.mcafee.com/StaticGenericPage.aspx?page=cookienotsupported&url=%2fSecure%2fForgotPassword.aspx%3faffid%3d105-50%26langid%3d46%26close%3dtrue%26RW%3d1%26culture%3dfr-FR%26ctst%3d1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {4474c49a-5f70-46a1-bc92-097318b2b818} - C:\WINDOWS\system32\toyedofi.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\vtUOFyxV.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: {d0e0472c-fe5d-039b-c354-2fb4e5870238} - {8320785e-4bf2-453c-b930-d5efc2740e0d} - C:\WINDOWS\system32\cqzofk.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {B5F63790-B18B-49DA-BA96-2B6F27CD6891} - C:\WINDOWS\system32\efcBrSmK.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VirusScan Online] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Program Files\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\winIogon.exe
O4 - HKLM\..\Run: [menozetiko] Rundll32.exe "C:\WINDOWS\system32\wegehove.dll",s
O4 - HKLM\..\Run: [8421cf0b] rundll32.exe "C:\WINDOWS\system32\werudoze.dll",b
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\system32\winamp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [menozetiko] Rundll32.exe "C:\WINDOWS\system32\wegehove.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\BORDILS RUNGIS\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://vieange.wordpress.com/
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} (Installer9Ctrl Class) - http://www.tellmemorecampus.com/bin/tol9inst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: cqzofk.dll,C:\WINDOWS\system32\zogonaha.dll
O20 - Winlogon Notify: vtUOFyxV - C:\WINDOWS\SYSTEM32\vtUOFyxV.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
22 déc. 2008 à 11:07
Je m'excuse par avance car je ne voudrais pas paraitre ni impatiente, ni impolie, mais je me demandais si quelqu'un aurait un moment pour m'indiquer la marche suivre pour commencer (au moins) à nettoyer mon PC.
Mon problème est expliqué ci-dessus, j'ai posté un rapport Hijackthis suite au message de Pimprenelle27.
Pour tout vous avouer, c'est une horreur depuis 3 jours, mon PC bug continuellement, c'est de pire en pire, j'ai accès à internet une fois sur 2, ce qui ne rend pas facile mon accès au forum, et pour couronner le tout, ça tombe super mal car j'avais besoin de mon PC avec internet pour mon travail et je commence à desespérer.
Alors si jamais quelqu'un avait pitié de moi... sinon je continuerai à être patiente.
Merci infiniment par avance.