Spyware + virus + pubs sur mon portable...

Question

Re toptitbal -->>> new topic c le même que lotre...

G le même problème sur mon PC portable du coup G fé pareil avec navilog voici le 1er rapport : 

Search Navipromo version 3.7.1 commencé le 12/01/2009 à 16:17:52,31 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! 
!!! Postez ce rapport sur le forum pour le faire analyser !!! 
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!! 

Outil exécuté depuis C:\Program Files
avilog1 

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3 
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.86GHz ) 
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A06 
USER : CECILE ( Administrator ) 
BOOT : Normal boot 

Antivirus : avast! antivirus 4.8.1296 [VPS 090111-1] 4.8.1296 (Activated) 


C:\ (Local Disk) - NTFS - Total:19 Go (Free:5 Go) 
D:\ (Local Disk) - NTFS - Total:17 Go (Free:14 Go) 
E:\ (CD or DVD) 
F:\ (USB) - FAT32 - Total:3848 Mo (Free:0 Go) 


Recherche executé en mode normal 

*** Recherche Programmes installés *** 


*** Recherche dossiers dans "C:\WINDOWS" *** 


*** Recherche dossiers dans "C:\Program Files" *** 


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" *** 


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\CECILE\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\CECILE\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\CECILE\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer *** 
pour + d'infos : http://www.gmer.net 



*** Recherche avec GenericNaviSearch *** 
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!! 
!!! A vérifier impérativement avant toute suppression manuelle !!! 

* Recherche dans "C:\WINDOWS\system32" * 

* Recherche dans "C:\Documents and Settings\CECILE\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre *** 
!! Les clés trouvées ne sont pas forcément infectées !! 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 

1)Recherche nouveaux fichiers Instant Access : 


2)Recherche Heuristique : 

* Dans "C:\WINDOWS\system32" : 


* Dans "C:\Documents and Settings\CECILE\locals~1\applic~1" : 


3)Recherche Certificats : 

Certificat Egroup absent ! 
Certificat Electronic-Group absent ! 
Certificat Montorgueil absent ! 
Certificat OOO-Favorit absent ! 
Certificat Sunny-Day-Design-Ltd absent ! 

4)Recherche autres dossiers et fichiers connus : 

C:\WINDOWS\system32\JkjTCcfe.ini2 trouvé ! Infection Vundo possible non traitée par cet outil ! 


*** Analyse terminée le 12/01/2009 à 16:27:26,17 *** 


Et enfin voici l'étape 2 avec navilog voici le 2èm rapport : 

Clean Navipromo version 3.7.1 commencé le 12/01/2009 à 16:45:51,59 

Outil exécuté depuis C:\Program Files
avilog1 

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3 
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.86GHz ) 
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A06 
USER : CECILE ( Administrator ) 
BOOT : Normal boot 

Antivirus : avast! antivirus 4.8.1296 [VPS 090111-1] 4.8.1296 (Activated) 


C:\ (Local Disk) - NTFS - Total:19 Go (Free:5 Go) 
D:\ (Local Disk) - NTFS - Total:17 Go (Free:14 Go) 
E:\ (CD or DVD) 
F:\ (USB) - FAT32 - Total:3848 Mo (Free:0 Go) 


Mode suppression automatique 
avec prise en charge résultats Catchme et GNS 


Nettoyage exécuté au redémarrage de l'ordinateur 


*** fsbl1.txt non trouvé *** 
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche) 


*** Suppression avec sauvegardes résultats GenericNaviSearch *** 

* Suppression dans "C:\WINDOWS\System32" * 


* Suppression dans "C:\Documents and Settings\CECILE\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" *** 


*** Suppression dossiers dans "C:\Program Files" *** 


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" *** 


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\CECILE\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\CECILE\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\CECILE\menudm~1\progra~1" *** 



*** Suppression fichiers *** 


*** Suppression fichiers temporaires *** 

Nettoyage contenu C:\WINDOWS\Temp effectué ! 
Nettoyage contenu C:\Documents and Settings\CECILE\locals~1\Temp effectué ! 

*** Traitement Recherche complémentaire *** 
(Recherche fichiers spécifiques) 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access : 

2)Recherche, création sauvegardes et suppression Heuristique : 


* Dans "C:\WINDOWS\system32" * 


* Dans "C:\Documents and Settings\CECILE\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup *** 

sauvegarde du Registre réalisée avec succès ! 

*** Nettoyage Registre *** 

Nettoyage Registre Ok 


*** Certificats *** 

Certificat Egroup absent ! 
Certificat Electronic-Group absent ! 
Certificat Montorgueil absent ! 
Certificat OOO-Favorit absent ! 
Certificat Sunny-Day-Design-Ltdt absent ! 

*** Recherche autres dossiers et fichiers connus *** 

C:\WINDOWS\system32\JkjTCcfe.ini2 trouvé ! Infection Vundo possible non traitée par cet outil ! 


*** Nettoyage terminé le 12/01/2009 à 17:01:23,90 *** 

Dit moi stp si je pe lancer laplication : Random's System Information Tool (RSIT) de Random ? 

Merci bocou et je te tiens au courant ds quelque instant à propos de mon 1er PC. 

Là je V lancer laplication Malwarebytes' Anti-Malware (MBAM)... 

A tout de suite et encore merci... 

Yoben

toptitbal · Answer

Re

Ici, il n'y avait pas d'infection navipromo contrairement à l'autre mais on retrouve vundo....
Fais un rsit également pour voir s'il y a autre chose.

yoben · Answer

Re

Voilà G fé également 1 RSIT sur mon portable
ça c le log.txt:

Logfile of random's system information tool 1.05 (written by random/random)
Run by CECILE at 2009-01-12 17:46:18
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 6 GB (29%) free of 20 GB
Total RAM: 503 MB (27% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:42, on 12/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\CECILE\Bureau\RSIT.exe
C:\Program Files	rend micro\CECILE.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {22434A64-133B-4104-BFF5-533084E3841E} - C:\WINDOWS\system32\efcCTjkJ.dll
O2 - BHO: {575272bb-260f-8a9b-dcf4-a62253223b84} - {48b32235-226a-4fcd-b9a8-f062bb272575} - C:\WINDOWS\system32\jvkypg.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyaxYQi.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX420 Series sur YOHAN] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P46 "Auto EPSON Stylus Photo RX420 Series sur YOHAN" /O18 "\YOHAN\Imprimante" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - https://www.epson.eu/support/
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://yohan-et-cecile.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp06.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32342005-AB29-4D6E-AC81-BC5EF8DB7C54}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{32342005-AB29-4D6E-AC81-BC5EF8DB7C54}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS3\Services\Tcpip\..\{32342005-AB29-4D6E-AC81-BC5EF8DB7C54}: NameServer = 80.118.192.100,80.118.196.36
O20 - AppInit_DLLs: jvkypg.dll
O20 - Winlogon Notify: xxyaxYQi - C:\WINDOWS\SYSTEM32\xxyaxYQi.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Program Files\RealVNC\WinVNC\WinVNC.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

toptitbal · Answer

Télécharge UsbFix  de chiquitine29 sur ton bureau 

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe 

--> Lance l installation avec les paramètres par défaut 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir 

--> Double clic sur le raccourci UsbFix sur ton bureau 

--> Choisis l’option 1 (nettoyage)

--> Le PC va redémarrer 

-->Après redémarrage poste le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque 

Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

yoben · Answer

Re Voici le rapport après le nettoyage d'UsbFix: -------------- UsbFix V2.414 --------------- * User : CECILE - CARUYER * Outils mis a jours le 09/01/2009 par Chiquitine29 et Chimay8 * Recherche effectuée à 18:05:43 le 12/01/2009 * Windows Xp - Internet Explorer 7.0.5730.11 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe --------------- [ Informations lecteurs ] ---------------- C: - Lecteur fixe D: - Lecteur fixe E: - Lecteur de CD-ROM F: - Lecteur amovible G: - Lecteur amovible --------------- [ Lecteur C ] ---------------- C: - Lecteur fixe +- Listing des fichiers présents : [30/06/2006 17:56][--a------] C:\AUTOEXEC.BAT [08/07/2006 15:31][-rahs----] C:\NTDETECT.COM [14/09/2008 21:11][-rahs----] C:\boot.ini [12/01/2009 17:01][--a------] C:\cleannavi.txt [12/01/2009 17:01][--a------] C:\fixnavi.txt [12/01/2009 17:01][--a------] C:\UsbFix.txt [30/06/2006 17:56][--a------] C:\CONFIG.SYS [30/06/2006 17:56][--a------] C:\IO.SYS [30/06/2006 17:56][--a------] C:\MSDOS.SYS [30/06/2006 17:56][--a------] C:\pagefile.sys --------------- [ Lecteur D ] ---------------- D: - Lecteur fixe +- Listing des fichiers présents : [30/07/2005 10:22][--a------] D:\MsgPlus-354.exe [30/07/2005 10:22][--a------] D:\MsgPlusLive-401.exe [30/07/2005 10:22][--a------] D:\WindowsXP-KB835935-SP2-FRA.exe --------------- [ Lecteur E ] ---------------- E: - Lecteur de CD-ROM +- Listing des fichiers présents : [18/06/2007 09:33][-r-------] E:\IE7-WindowsXP-x86-fra.exe [18/06/2007 09:33][-r-------] E:\NDP1.1sp1-KB867460-X86.exe [18/06/2007 09:33][-r-------] E:\eMule0.48a-Installer.exe [18/06/2007 09:33][-r-------] E:\eMule047c.exe [18/06/2007 09:33][-r-------] E:\iTunesSetup.exe [18/06/2007 09:33][-r-------] E:\keygen.exe [18/06/2007 09:33][-r-------] E: evo51_win_1.0.0.0.exe [18/06/2007 09:33][-r-------] E:\setupfre.exe --------------- [ Lecteur F ] ---------------- F: - Lecteur amovible +- Listing des fichiers présents : [10/08/2008 12:02][--a------] F:\dotnetfx.exe --------------- [ Lecteur G ] ---------------- G: - Lecteur amovible +- Listing des fichiers présents : --------------- [ Registre / Startup ] ---------------- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2fbr%2faccess%2fallinone.asp%3f" "Start Page"="http://msn.fr/" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe PC Suite Tray="C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] IntelWireless=C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe EPSON Stylus Photo RX420 Series=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420" Auto EPSON Stylus Photo RX420 Series sur YOHAN=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P46 "Auto EPSON Stylus Photo RX420 Series sur YOHAN" /O18 "\YOHAN\Imprimante" /M "Stylus Photo RX420" Adobe Photo Downloader="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot CanonSolutionMenu=C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon CanonMyPrinter=C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" Framework Windows=frmwrk32.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = --------------- [ Registre / Mountpoint2 ] ---------------- Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16d7cf14-4ad2-11dd-89f4-0013ceef38df}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16d7cf14-4ad2-11dd-89f4-0013ceef38df}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{16d7cf14-4ad2-11dd-89f4-0013ceef38df}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5508c718-6c2b-11db-86f3-0013ceef38df}\Shell\AutoRun\command --------------- [ Nettoyage des disques ] ---------------- Supprimé ! - [12/01/2009 18:02][--a------] C:\WINDOWS\system32\ahtn.htm Supprimé ! - [05/01/2009 14:56][--a------] C:\WINDOWS\system32\frmwrk32.exe Supprimé ! - [12/01/2009 18:02][--a------] C:\WINDOWS\system32\warning.gif --------------- [ Resumé ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [30/06/2006 17:56][--a------] C:\AUTOEXEC.BAT [08/07/2006 15:31][-rahs----] C:\NTDETECT.COM [14/09/2008 21:11][-rahs----] C:\boot.ini [30/07/2005 10:22][--a------] D:\MsgPlus-354.exe [30/07/2005 10:22][--a------] D:\MsgPlusLive-401.exe [30/07/2005 10:22][--a------] D:\WindowsXP-KB835935-SP2-FRA.exe [18/06/2007 09:33][-r-------] E:\IE7-WindowsXP-x86-fra.exe [18/06/2007 09:33][-r-------] E:\NDP1.1sp1-KB867460-X86.exe [18/06/2007 09:33][-r-------] E:\eMule0.48a-Installer.exe [18/06/2007 09:33][-r-------] E:\eMule047c.exe [18/06/2007 09:33][-r-------] E:\iTunesSetup.exe [18/06/2007 09:33][-r-------] E:\keygen.exe [18/06/2007 09:33][-r-------] E: evo51_win_1.0.0.0.exe [18/06/2007 09:33][-r-------] E:\setupfre.exe [10/08/2008 12:02][--a------] F:\dotnetfx.exe --------------- [ Vaccination ] ---------------- C:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! D:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! F:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! G:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! --------------- ! Fin du rapport ! ---------------- J'attends à présent la suite des évènements et ce que tu me dis de faire... Au fé javé 1 fond d'écran mé apré redémarrage après UbFix je ne lé plu !! Di moi comment le récupéré ou si il va revenir ensuite... Merci bocou Sur lotre PC le MBAM est tjrs en exécution je te tiens au courant ds lotre topic quan c fini Yoben

toptitbal · Answer

Envoie MBAM, examen complet en mode sans échec également ici, en espérant que cela suffira pour éliminer vundo...

yoben · Answer

Re

Ptite question : fo t il supprimer les virus cocher après le 1er nettoyage du MBAM ou juste enregistrer le rapport et ensuite passer au démarrage en mode sans échec puis nettoyage complet au MBAM ?

Merci pour ton aide...
Yoben

toptitbal · Answer

Une fois MBAM téléchargé, tu redémarres en mode sans échec et tu le lances dans ce mode.
Tu supprimes tout ce qu'il a trouvé et tu postes le rapport.

yoben · Answer

Re voici le rapport après le nettoyage au MBAM

Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1646
Windows 5.1.2600 Service Pack 3

12/01/2009 19:50:41
mbam-log-2009-01-12 (19-50-41).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 54152
Temps écoulé: 1 hour(s), 5 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaxyqi (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\xxyaxYQi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\eChanblard\EvID4226Patch.exe (Adware.Agent) -> Quarantined and deleted successfully.


Dis moi ce que je dois faire ensuite stp 
Merci
Yoben

toptitbal · Answer

Fais un nouvel Hijackthis

Par rapport aux problèmes de départ, il y a un peu d'amélioration ou pas ?

yoben · Answer

Re 

par rapport au départ pour linstant il ne détecte plus de virus ni spyware et de pub 

Par contre je né plus mon fond d'écran -->> comment faire pour le récupérer fo aller ds affichage ds pano de config??

Merci pour ton aide

Voilà le rapport hijackthis :

Logfile of random's system information tool 1.05 (written by random/random)
Run by CECILE at 2009-01-12 19:58:35
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 6 GB (31%) free of 20 GB
Total RAM: 503 MB (28% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:49, on 12/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\CECILE\Bureau\RSIT.exe
C:\Program Files	rend micro\CECILE.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E8ACB3DD-284C-4459-9179-D4E4707A75BC} - C:\WINDOWS\system32\efcCTjkJ.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Auto EPSON Stylus Photo RX420 Series sur YOHAN] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P46 "Auto EPSON Stylus Photo RX420 Series sur YOHAN" /O18 "\YOHAN\Imprimante" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - http://www.mypixmania.com/importer/MypixUploader.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - https://www.epson.eu/support/
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://yohan-et-cecile.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp06.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{32342005-AB29-4D6E-AC81-BC5EF8DB7C54}: NameServer = 80.118.192.100,80.118.196.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{32342005-AB29-4D6E-AC81-BC5EF8DB7C54}: NameServer = 80.118.192.100,80.118.196.36
O20 - AppInit_DLLs: jvkypg.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Program Files\RealVNC\WinVNC\WinVNC.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

toptitbal · Answer

ça a l'air pas mal mais avec vundo on peut toujours avoir des surprises, tu vas voir à l'usage dans les jours à venir comment cela se passe.

Pour ton image de fond d'écran tu fais un clic droit sur le bureau puis propriétés et onglet bureau.

yoben · Answer

Re

OK pour vundo je verré ça o jour le jour

Pour le fond d'écran G fé comme tu ma di mé : clic droit sur le bureau puis propriétés et onglet bureau. 

Mé ça marche pas....Dis moi si ta une otre solution 

Merci

Yoben

yoben · Answer

Re 

Ok merci quand même pour l'info, je vais essayer de voir ça moi même...

En tout cas merci pour tout et jespère ne plus avoir revenir ici parce que tout ça c très stressant...

Allez @+

Yoben

yoben · Answer

Salut à tous !!

Après avoir été infecté par plein de virus hier, ce matin j'ai refait un nettoyage avec Malwarebytes anti malware et le rapport a trouvé 3 infectionsque j'ai supprimé et mis en quarantaine.

Je voulais savoir quand même si il ny a pas dotre danger voici le rapport du MBAM :

Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1646
Windows 5.1.2600 Service Pack 3

13/01/2009 12:32:00
mbam-log-2009-01-13 (12-32-00).txt

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|)
Eléments examinés: 116863
Temps écoulé: 55 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{C8AE123A-9C60-4F83-B28A-A11C60FA7928}\RP598\A0056582.exe (Adware.Agent) -> Quarantined and deleted successfully.


Merci pour le coup de main...

Yoben

yoben · Answer

Re

Est ce que quelqu'un pe me dire si le rapport du MBAM que G mis est bon ou pas ????

Merci bocou

Yoben

yoben · Answer

Salut à tous !!

Ce matin j'ai refait un nettoyage avec Malwarebytes anti malware sur mon portable après les pbs d'hier et le rapport a trouvé 3 infections que j'ai supprimé et mis en quarantaine. 

Je voulais savoir quand même si il ny a pas dotre danger voici le rapport du MBAM : 

Malwarebytes' Anti-Malware 1.32 
Version de la base de données: 1646 
Windows 5.1.2600 Service Pack 3 

13/01/2009 12:32:00 
mbam-log-2009-01-13 (12-32-00).txt 

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|) 
Eléments examinés: 116863 
Temps écoulé: 55 minute(s), 22 second(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 1 
Valeur(s) du Registre infectée(s): 1 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 1 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. 

Valeur(s) du Registre infectée(s): 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully. 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
C:\System Volume Information\_restore{C8AE123A-9C60-4F83-B28A-A11C60FA7928}\RP598\A0056582.exe (Adware.Agent) -> Quarantined and deleted successfully. 


Merci pour le coup de main... 

Yoben

yoben · Answer

Re jlpjlp

Comment fé tu apré avoir redémaré lordi et aprè avoir restauré le système pour récupérer le dossier de création du point de restauration ??

Là je fé à nouvo un nettoyage avec MBAM et apré je mettré le rapport...

Merci encore pour ton aide...

Yoben

jlpjlp · Answer

slt reste bien dans ce post jusqu'au bout!


Comment fé tu apré avoir redémaré lordi et après avoir restauré le système pour récupérer le dossier de création du point de restauration ?? 



il suffisait de désactiver ta restauration puis redémarrer ton ordi puis la réactiver ce qui supprime cette infection:


C:\System Volume Information\_restore{C8AE123A-9C60-4F83-B28A-A11C60FA7928}\RP598\A0056582.exe (Adware.Agent) -> Quarantined and deleted successfully.






vérifie avec malwarebyte maintenant

je laisse la main

bonne suite

jlpjlp · Answer

c'est bon!

yoben · Answer

Salut jlpjlp

Merci pour ta réponse, depuis mardi je n'ai plus eu de problème sur le portable donc je suis rassuré à présent...

Encore merci à toi et de l'aide que tu m'as apportée...

A+

Yoben

jlpjlp · Answer

slt

je n'avais vu que le rapport malwarebyte comme tu demandé!

_____________________


en regardant de plus près le rapport RSIT : il y a tout ceci: une infection par msn.....



C:\WINDOWS	asks\vnlbemzs.job 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flash Media]
C:\WINDOWS\system32\^^^^%^ %^% %^%.exe [] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E8ACB3DD-284C-4459-9179-D4E4707A75BC}]
C:\WINDOWS\system32\efcCTjkJ.dll []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Framework Windows"=frmwrk32.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Flash Media]
C:\WINDOWS\system32\^^^^%^ %^% %^%.exe []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="jvkypg.dll"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\^^^^%%%^ %^%%% %% %^%.exe"="C:\WINDOWS\system32\^^^^%%%^ %^%%% %% %^%.exe:*:Enabled:Flash Media"





_______________________



ALORS:::::

fais ceci:

1/vire cette tache plannifiée:  vnlbemzs.job    en allant dans psote de travail puis


C:\WINDOWS	asks\vnlbemzs.job 



puis



Télécharge MSNFix de Laurent 
http://sosvirus.changelog.fr/MSNFix.zip 

Décompresse-le et double clic sur le fichier MSNFix.bat. 
- Exécute l'option R. 
--Si l'infection est détectée, exécute l'option N 
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum. 

Note : 
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal 
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement. 


envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr  pour faire evoluer msnfix


3/

puis

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Spyware + virus + pubs sur mon portable... - Page 2

Newsletters