Sujet Précédent Sujet Suivant

Infection Vundo que faire

Résolu/Fermé
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013 - 2 janv. 2009 à 12:02
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 - 6 janv. 2009 à 15:56
Bonjour,
Spybot trouve ces sites mavaillants de virtumonde et smitfraud, je lui demande de les détruire, mais à chaque fois ils réapparaissent, j'ai essayé avec un scan de symantec, lui il n'a rien trouvé, c'est la cata.

37 réponses

  • 1
  • 2
Réponse 1 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
2 janv. 2009 à 12:04
télécharge hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

-> enregistre la cible sous .... "le bureau"

-> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

->
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Démo : (Merci a Balltrap34 pour cette réalisation)
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
2 janv. 2009 à 12:47
merci pour la réponse
voila le rapport de Hijackthis, un détail, j'ai fait un scan avec vundofix qui lui ne trouve rien alors que spybot les détecte toujours alors que je les ai supprimés il y a peu de temps.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:29, on 02/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.addresscn.com/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://sg.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Microsoft WinUpdate] C:\WINDOWS\system32\msupdte.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: ???? - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/203
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\JCA2000\StopPub\StopPub.exe
O9 - Extra 'Tools' menuitem: Stop Pub - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\JCA2000\StopPub\StopPub.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.serviceshub.microsoft.com/supportforbusiness/create
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/23.30/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106243543703
O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photoservice.photos.orange.fr/migrationorange/index.cfm
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: etzhvs.dll mlffmm.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
0
Réponse 2 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
2 janv. 2009 à 12:51
Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée,fermes Malwarebytes
. redemarres en mode sans échec pour savoir comment au cas ou tu ne saurrais pas regarde plus bas
. une fois en mode sans echec tu double-cliques sur l'icône de malwarebytes
. une fois ouvert rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés)

. cliques sur Supprimer la sélection

. Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré en mode normal double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
0
Réponse 3 / 37
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
2 janv. 2009 à 15:23
suivi les instructions à la lettre, infesté de partout, voiçi le rapport.

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1596
Windows 5.1.2600 Service Pack 3

02/01/2009 15:21:14
mbam-log-2009-01-02 (15-21-14).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 114111
Temps écoulé: 1 hour(s), 27 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 4
Clé(s) du Registre infectée(s): 30
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 24

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\tuvSlmKB.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\etzhvs.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\mlffmm.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\byXnLdAQ.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c6cb542d-e2de-468f-a9fe-707e27fd700e} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{c6cb542d-e2de-468f-a9fe-707e27fd700e} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{1d524291-7e43-47e0-8800-523f0c3c6962} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{81bfa03c-6ee3-490d-b6f4-4edd0d6eeee7} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{81bfa03c-6ee3-490d-b6f4-4edd0d6eeee7} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{81bfa03c-6ee3-490d-b6f4-4edd0d6eeee7} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dlp.dlpobj (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dlp.dlpobj.1 (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxnldaq (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4e7bd74f-2b8d-469e-86bd-fd60bb9aae3a} (Adware.OneToolBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{be2ed590-ca49-46b5-8cce-244fb2e0d1aa} (Adware.WebDir) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\DLP.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\tuvslmkb -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvslmkb -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\tuvSlmKB.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\BKmlSvut.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\BKmlSvut.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thddbxbf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fbxbddht.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\cris\Local Settings\Application Data\vcgyyxorwb_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\cris\Local Settings\Application Data\vcgyyxorwb_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\cris\Local Settings\Application Data\vcgyyxorwb.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\etzhvs.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\mlffmm.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\byXnLdAQ.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\cris\Local Settings\Temporary Internet Files\Content.IE5\5AL83VY6\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\cris\Local Settings\Temporary Internet Files\Content.IE5\6J5KYH07\index[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP1\A0000019.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP1\A0000020.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP1\A0000021.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP1\A0000022.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\atlpfvdk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ihmkvvaw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqhdgiqn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRkJyYo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msupdte.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Default User\results.txt (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 4 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
2 janv. 2009 à 16:28
TTENTION respecter les procedure et les tuto ce programme est tres puissant pas de fausse manip
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

**Désactive les logiciels de protection** (Antivirus, Antispywares) puis :
deconnecte toi d'internet,ferme tout les programmes

Double-clique sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
ne touche plus à rien, même pas ta souris!!
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Copie/colle un nouveau rapport HiJackThis avec.

-----------------------------------------------------

installer la Console de Récupération sur ton pc(cela permettra de réparer ton système au cas où le pc ne redémarrerait plus suite à la désinfection.)

Clique sur le lien ci-dessous pour aller sur le site Web de Microsoft:

https://support.microsoft.com/en-us/help/310994

descend jusqu'à "Téléchargement du fichier programme des disquettes d'installation" et clique sur le téléchargement correspondant à ta version de Windows XP (Édition familiale ou Professionnel) et au Service Pack que tu as installé.
**note: pour le SP3 charge le Service Pack 2
pour Windows XP Media Center charge XP Pro Service Pack 2.

enregistre le sur ton bureau.

0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
2 janv. 2009 à 19:47
Tout ça me fait un peu peur, mais bon.
Si j'ai bien compris, si tout va bien je n'aurai pas besoin de la console de récupération. Mais au cas où
Pour installer cette console, au lieu d'utiliser le CD d'installation puis-je récupérer les fichiers sous: C:\WINDOWS\i386, sur l'explication on parle de C:\i386, j'ai trouvé sous C:\WINDOWS i386 et j'ai 10 fichiers:
1)C:\WINDOWS
2)C:\WINDOWS\driver cache
3)C:\WINDOWS\service packeFiles
4)C:\WINDOWS\service packeFiles
5)C:\WINDOWS\lexmarck 4300( c'est mon imprimante)
6)C:\WINDOWS\Java\jre1.5.5
7)C:\WINDOWS\système32\Reinstallation
8)C:\WINDOWS\système32\Reinstallation
9)C:\WINDOWS\système32\Reinstallation
10)C:\WINDOWS\système32\Reinstallation
dois-je tout mettre comme commande c.a.d: c:\windows\i386\winnt32.exe/cmdcons
Ou autre chose, là je suis un peu larguée et autre question ,dans ce cas les mises à jour c'est oui ou non.
Mes questions sont sans doute un peu idiotes, mais je fais ce que je peux. Merci pour ta patience.
J'ai déjà téléchargé comboFix et installé sur le bureau.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
2 janv. 2009 à 19:56
si tu suis la procedure il n y aura pas de probleme
tu sous xp pro ou familliale
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
2 janv. 2009 à 21:03
XP édition familiale, version Service Pack3. En tout cas depuis que j'ai scané et supprimé avec Malwarebytes, plus de problèmes, enfin pour l'instant, dois-je continuer tout de même?
0
Réponse 6 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
2 janv. 2009 à 21:05
oui continue les vundo sont tenace
0
Réponse 7 / 37
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
2 janv. 2009 à 21:48
OK,vais faire comme tu me dis, mais tu fais comment pour déconnecter Spybot, quand il est installé ce n'est pas possible à moins de le supprimer complètement.
0
Réponse 8 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
2 janv. 2009 à 21:52
tu l ouvre en tant qu administrateur tu va dans "mode "
clic avance
outils
resident
tu decoche la case devant tea timer il faudra faire la manip a l envers apres la desinfection
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
2 janv. 2009 à 22:18
Merci c'est fait, tu es super, la suite pour demain, la petite veut un calin avant de dormir.
0
Réponse 9 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
2 janv. 2009 à 22:22
bonne nuit je reste dispo pour la suite post le rapot
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 12:40
Bonjour à toi,
Impossible d'aller installer la console de récupération avec le CD de démarrage, il ne trouve pas le chemin.
Je tape g:\i386\winnt32.exe/cmdcons(g étant mon lecteur),par contre si je tape uniquement G:\i386, j'arrive à lire le contenu, mais il y a plein de dossiers et je ne sais lequel choisir pour continuer, j'ai fait le même chose sans CD, en mettant c:\même adresse que en haut, ça ne fonctionne pas non plus: emplacement non dispo. Donc là je suis bloqué.
Par contre j'ai été télécharger les fichiers programmes de disquettes sur microsoft.
Maintenant je fait quoi, je lance comboFix, sans console de récupération?
0
Réponse 10 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 13:33
bon on va faire autrement commence par navilog 1
Navilog1 est un outil dédié aux infections egdaccess/navipromo/instant access/Magic.control Agent
Les popups "spyware Secure" sont généralement dus à un rootkit présent sur le PC. Malheureusement Ad-Aware et Spybot sont inefficaces dans ce genre d'infections.

Important : Désactive TeaTimer, le résident de Spybot, il va gêner la désinfection en empêchant la modification des BHO. (si présent)
# Lancez Spybot > Mode avancé > Outils >> Résident
# Décochez la case résident "tea timer" et refermez Spybot


Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
TUTO :: http://www.malekal.com/Adware.Magic_Control.php
0
Réponse 11 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 13:35
ensuite desinstal spybot via ajjout suppression de programmes (on le telechargera ulterieurement)
puis tu lance combofix sans la console de recup
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 14:29
voiçi le rapport de navilog, j'ai enlevé spybot et je vais lancer combofix.

Search Navipromo version 3.7.0 commencé le 03/01/2009 à 14:33:07,43

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : cris ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1296 [VPS 090102-0] 4.8.1296 (Activated)


C:\ (Local Disk) - NTFS - Total:74 Go (Free:35 Go)
D:\ (Local Disk) - NTFS - Total:68 Go (Free:31 Go)
E:\ (Local Disk) - FAT32 - Total:5 Go (Free:1 Go)
F:\ (Local Disk) - NTFS - Total:149 Go (Free:144 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB)
N:\ (CD or DVD)
O:\ (CD or DVD)
P:\ (CD or DVD)
Q:\ (CD or DVD)
R:\ (CD or DVD)
S:\ (CD or DVD)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\cris\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\cris\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\cris\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\cris\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

GoogleDesktopSearchSetup.exe trouvé !

* Dans "C:\Documents and Settings\cris\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 03/01/2009 à 14:36:01,46 ***
0
Réponse 12 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 14:31
▶ Navilog1 option2

▶ Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement.

▶ Double-clique sur le raccourci Navilog1 présent sur ton Bureau.

▶ Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.
(Si ton PC ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.

▶ Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le Bloc-notes va s'ouvrir.
Sauvegarde le rapport sur ton Bureau de manière à le retrouver.
Referme le Bloc-notes. Ton Bureau va réapparaître

PS : Si ton Bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Cela te fera apparaître ton Bureau

▶ Poste le rapport de Navilog1 (contenu du fichier navi2.txt) en réponse et dis moi si tu constates des améliorations.

/!\Pense à ré-activer ton antivirus et antispyware résident avant de te reconnecter sur "la toile"./
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 14:48
j'ai lancé combofix et le rapport est enregistré sur mon bureau, en as-tu besoin, car moi je n'y comprends rien?
Je relance navilog et je t'envoie le rapport.
Dois je conserver combofix ou le supprimer?
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 14:56
dernier rapport de navilog

Search Navipromo version 3.7.0 commencé le 03/01/2009 à 14:59:48,07

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : cris ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1296 [VPS 090102-0] 4.8.1296 (Activated)


C:\ (Local Disk) - NTFS - Total:74 Go (Free:36 Go)
D:\ (Local Disk) - NTFS - Total:68 Go (Free:31 Go)
E:\ (Local Disk) - FAT32 - Total:5 Go (Free:1 Go)
F:\ (Local Disk) - NTFS - Total:149 Go (Free:144 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\cris\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\cris\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\cris\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\cris\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

GoogleDesktopSearchSetup.exe trouvé !

* Dans "C:\Documents and Settings\cris\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 03/01/2009 à 15:02:11,45 ***
0
Réponse 13 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 15:00
tu as refais l option 1 il faut choisir la 2
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 15:11
avec l'option2 c'est cela

Clean Navipromo version 3.7.0 commencé le 03/01/2009 à 15:14:24,84

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : cris ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1296 [VPS 090102-0] 4.8.1296 (Activated)


C:\ (Local Disk) - NTFS - Total:74 Go (Free:36 Go)
D:\ (Local Disk) - NTFS - Total:68 Go (Free:31 Go)
E:\ (Local Disk) - FAT32 - Total:5 Go (Free:1 Go)
F:\ (Local Disk) - NTFS - Total:149 Go (Free:144 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\cris\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\cris\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\cris\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\cris\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\cris\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


GoogleDesktopSearchSetup.exe trouvé !
Copie GoogleDesktopSearchSetup.exe réalisée avec succès !
GoogleDesktopSearchSetup.exe supprimé !


* Dans "C:\Documents and Settings\cris\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 03/01/2009 à 15:18:09,23 ***
0
Réponse 14 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 15:13
ok tu peux faire la suite
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 15:18
Mais c'est quoi la suite j'ai tout fait, enfin il me semble.
0
Réponse 15 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 15:21
lance combofix sans la console refere toi au post 5 pour la procedure
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 15:36
rappoert combofix



ComboFix 09-01-01.02 - cris 2009-01-03 15:36:30.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.648 [GMT 1:00]
Lancé depuis: c:\documents and settings\cris\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-03 au 2009-01-03 ))))))))))))))))))))))))))))))))))))
.

2009-01-02 13:30 . 2009-01-02 14:26 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-02 13:30 . 2009-01-02 13:30 <REP> d-------- c:\documents and settings\cris\Application Data\Malwarebytes
2009-01-02 13:30 . 2009-01-02 13:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-02 13:30 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-02 13:30 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-02 12:52 . 2009-01-02 14:27 <REP> d-------- c:\program files\Trend Micro
2009-01-01 13:39 . 2009-01-03 15:18 <REP> d-------- c:\program files\Navilog1
2008-12-30 19:27 . 2008-12-30 19:27 <REP> d-------- c:\documents and settings\cris\Application Data\Babylon
2008-12-30 19:27 . 2008-12-30 19:27 <REP> d-------- c:\documents and settings\All Users\Application Data\Babylon
2008-12-30 13:33 . 2008-12-30 13:33 63 --a------ c:\windows\mdm.ini
2008-12-28 17:43 . 2008-12-28 17:43 <REP> d-------- c:\documents and settings\Propriétaire
2008-12-28 17:43 . 2008-12-28 17:43 50 --a------ c:\windows\cdplayer.ini
2008-12-27 17:13 . 2008-12-27 17:13 <REP> d-------- c:\program files\THQ
2008-12-16 01:23 . 2008-12-16 01:28 <REP> d-------- c:\documents and settings\All Users\Application Data\BigFishGamesCache
2008-12-04 00:33 . 2008-12-04 00:33 0 --a------ c:\documents and settings\Administrateur\Application Data\wklnhst.dat
2008-12-03 21:59 . 2008-12-03 21:59 <REP> d-------- c:\documents and settings\Administrateur\Application Data\DivX
2008-12-03 21:04 . 2005-01-26 19:09 <REP> d-------- c:\documents and settings\Administrateur\WINDOWS
2008-12-03 21:04 . 2005-01-26 20:15 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-12-03 21:04 . 2005-01-20 15:26 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-12-03 21:04 . 2005-01-20 18:52 <REP> d---s---- c:\documents and settings\Administrateur\UserData
2008-12-03 21:04 . 2005-01-20 14:31 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-12-03 21:04 . 2008-12-03 21:58 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2008-12-03 21:04 . 2005-01-20 15:26 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-12-03 21:04 . 2008-12-04 00:44 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2008-12-03 21:04 . 2005-02-05 19:09 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-12-03 21:04 . 2005-01-26 13:08 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver
2008-12-03 21:04 . 2005-02-05 18:58 <REP> d-------- c:\documents and settings\Administrateur\Application Data\CyberLink
2008-12-03 21:04 . 2006-11-01 22:23 <REP> d-------- c:\documents and settings\Administrateur\Application Data\AOL
2008-12-03 21:04 . 2008-12-30 20:06 <REP> d-------- c:\documents and settings\Administrateur

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-03 14:18 --------- d-----w c:\program files\Lx_cats
2009-01-03 13:51 29,306 ----a-w c:\documents and settings\cris\Application Data\wklnhst.dat
2009-01-03 10:33 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-02 19:33 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-30 19:05 --------- d-----w c:\program files\Google
2008-12-30 18:48 --------- d-----w c:\program files\TuneUp Utilities 2008
2008-12-30 18:22 --------- d-----w c:\program files\eMule
2008-12-30 17:18 --------- d-----w c:\documents and settings\cris\Application Data\uTorrent
2008-12-16 00:37 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-12-03 17:52 --------- d-----w c:\program files\modules
2008-12-03 17:52 --------- d-----w c:\program files\data
2008-12-01 23:40 --------- d-----w c:\program files\The Adventure Company
2008-12-01 23:27 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-12-01 23:27 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-12-01 23:27 12,067 ----atw c:\windows\system32\SIntf16.dll
2008-11-27 17:50 --------- d-----w c:\documents and settings\cris\Application Data\Vso
2008-11-24 20:25 --------- d-----w c:\documents and settings\cris\Application Data\Flood Light Games
2008-11-24 20:25 --------- d-----w c:\documents and settings\All Users\Application Data\Flood Light Games
2008-11-24 20:10 --------- d-----w c:\documents and settings\All Users\Application Data\EscapeTheMuseum
2008-11-23 14:47 --------- d-----w c:\program files\DivX
2008-11-21 16:21 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-21 16:21 --------- d-----w c:\program files\Micro Application
2008-11-21 00:00 --------- d-----w c:\documents and settings\cris\Application Data\BeachPartyCraze
2008-11-20 21:08 --------- d-----w c:\documents and settings\cris\Application Data\Friday's games
2008-11-20 21:07 --------- d-----w c:\program files\Fichiers communs\Oberon Media
2008-11-17 21:11 --------- d-----w c:\program files\PENDULO Studios
2008-11-10 20:04 --------- d--h--r c:\documents and settings\cris\Application Data\CrystalSpace
2008-11-05 18:05 98,304 ----a-w c:\windows\system32\CmdLineExt.dll
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-10-28 22:36 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-10-28 22:35 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-10-28 22:35 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\DivX.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2007-11-27 20:27 47,360 ----a-w c:\documents and settings\cris\Application Data\pcouffin.sys
1998-08-24 10:09 10,000 ----a-w c:\windows\inf\unregpn.exe
2007-02-22 20:07 109,568 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2007-11-23 22:48 56 --sh--r c:\windows\system32\3607753BA6.sys
2005-01-25 16:24 8 --sh--r c:\windows\system32\F2A38CDCBF.sys
2007-11-23 22:48 5,642 --sha-w c:\windows\system32\KGyGaAvL.sys
2008-08-21 16:13 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082120080822\index.dat
.

((((((((((((((((((((((((((((( snapshot@2009-01-03_14.46.13.25 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-01-03 14:17:13 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_4cc.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-01 68856]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2004-12-09 1937408]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-26 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=etzhvs.dll mlffmm.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" /background
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" /s
"LXCECATS"=rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
"MessagerStarter Wanadoo"=c:\progra~1\MESSAG~1\StartMessager.exe Messager Wanadoo

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Java\\jre1.5.0_01\\bin\\javaw.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\French\\setup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\Wincra\\mirc.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-04 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-12-04 20560]
R3 3xHybrid;3xHybrid service;c:\windows\system32\DRIVERS\3xHybrid.sys [2005-02-05 802048]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-01-20 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2005-01-20 19928]
S2 ShellHWDetection_Untrusted_BZ;Détection matériel noyau_Untrusted_BZ;c:\virtual\Untrusted\C_\WINDOWS\System32\svchost.exe -k netsvcs [2005-01-20 14336]
S2 StiSvc_Untrusted_BZ;Acquisition d'image Windows (WIA)_Untrusted_BZ;c:\virtual\Untrusted\C_\WINDOWS\system32\svchost.exe -k imgsvc [2005-01-20 14336]
S3 CardReaderFilter;Card Reader Filter;\??\c:\windows\system32\Drivers\USBCRFT.SYS [2005-01-20 17408]
S3 lac97inf;lac97inf;\??\c:\docume~1\cris\LOCALS~1\Temp\lac97inf.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2009-01-03 c:\windows\Tasks\Check Updates for Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2006-07-07 17:26]

2009-01-03 c:\windows\Tasks\rbzpplge.job
- c:\windows\system32\rundll32.exe [2008-04-14 03:34]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uStart Page = hxxp://google.fr/
mStart Page = hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

c:\windows\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\GdiPlus.dll - c:\windows\Downloaded Program Files\EphotoAxRes.dll
c:\windows\Downloaded Program Files\EphotoAx.dll
c:\windows\Downloaded Program Files\EphotoAxResES.dll
c:\windows\Downloaded Program Files\EphotoAxResNL.dll
c:\windows\Downloaded Program Files\EphotoAxResFR.dll
c:\windows\Downloaded Program Files\EphotoAxResEN.dll
O16 -: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D}
hxxp://photos.orange.fr/resources/activex/Ephoto.cab
c:\windows\Downloaded Program Files\Ephoto.inf
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 15:37:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(608)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-01-03 15:38:28
ComboFix-quarantined-files.txt 2009-01-03 14:38:26
ComboFix2.txt 2009-01-03 13:47:27

Avant-CF: 39 112 478 720 octets libres
Après-CF: 39,095,721,984 octets libres

199 --- E O F --- 2008-12-18 12:39:56





rapport hijackthis apres lancement de combo
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:35, on 03/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.serviceshub.microsoft.com/supportforbusiness/create
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/23.30/uploader2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106243543703
O16 - DPF: {7DA181BB-EF8D-4A7E-8C53-7BFC718EF71D} (Upload Class) - http://photoservice.photos.orange.fr/migrationorange/index.cfm
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: etzhvs.dll mlffmm.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
0
Réponse 16 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 15:41
refait le post 3
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 15:46
Je reprendrai cela un peu plus tard sans faute et je te posterai le rapport de Malwarebytes en fin d'après midi.
Mais dans tous les cas merci d'avance pour ta patience et tes explications claires. A+
0
Réponse 17 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 15:49
ok tu me dira si tu note une amelioration a+
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 19:15
dernier scan Malwarebytes: 5 dossiers infestés que je me suis dépêchée de détruire, par rapport à 66 la dernière fois, le résultat est super, qu'en penses-tu? Je mets le rapport

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1596
Windows 5.1.2600 Service Pack 3

03/01/2009 19:15:45
mbam-log-2009-01-03 (19-15-45).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 112000
Temps écoulé: 1 hour(s), 10 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP2\A0001036.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP2\A0001038.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP2\A0001039.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP2\A0001040.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1D57A905-D4FE-4B9B-83D6-90B578A2376C}\RP2\A0001041.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
0
Réponse 18 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 19:32
c'est qu'il faut desactiver la restauration systeme le temps du redemarrage dans DEMARRER puis TOUS LES PROG
puis ACCESOIRE puis OUTILS SYSTEME puis DANS RESTAURATION SYSTEME aller dans parametre et desactiver la restauration redemare en manuel et remet la restoration
le virus est dans la restoration et ce reeinstal a chaque demarag

0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 19:53
je fais comment pour redémarrer en manuel
0
Réponse 19 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 19:54
comme d habitude c est juste pour dire qu il ne redemare pas tout seul
0
nastounette Messages postés 43 Date d'inscription jeudi 1 janvier 2009 Statut Membre Dernière intervention 25 avril 2013
3 janv. 2009 à 20:00
OK c'est fait, dois-je refaire une analyse, si oui ce sera après manger, au fait bonne appêtit.
0
Réponse 20 / 37
darkpoet Messages postés 1654 Date d'inscription jeudi 29 mai 2008 Statut Contributeur sécurité Dernière intervention 10 mars 2014 62
3 janv. 2009 à 20:07
je sais que c est penible mais relance malwarebyytes bon appetit
0

Discussions similaires

[virus] infecté par trojan vundo
j-mi57 -
j-mi57 -

15 réponses
Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
infection trojan shell.exe: que faire?
gaëlle -
gaëlle -

5 réponses
Infection ?
Tomy -
MisteryBean -

10 réponses
infection je sais pas ce que c'est
seyo -
sKe69 -

28 réponses