Aide pour neutraliser antivirus 2009

Fermé
lords2006 - 16 janv. 2009 à 00:19
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 16 janv. 2009 à 00:54
Bonjour,
Depuis quelques jours, le fonctionnement de mon ordinateur est perturbé par ANTIVRUS 2009. dès ue j'ouvre internet, j'ai un blocage.
J'ai regardé sur différents forums et installé les logiciels combofix et malware.
Ci-dessous les rapports combofix.txt et malware

en vous remrciant par avance de votre aide

contenu combofix.txt

ComboFix 09-01-13.04 - JPD 2009-01-15 22:33:37.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.255.68 [GMT 1:00]
Lancé depuis: c:\documents and settings\JPD\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090115-0] *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\docume~1\JPD\LOCALS~1\Temp\tmp2.tmp
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\JPD\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk
c:\documents and settings\JPD\Menu Démarrer\Antivirus 2009
c:\documents and settings\JPD\Menu Démarrer\Antivirus 2009\Antivirus 2009.lnk
c:\documents and settings\JPD\Menu Démarrer\Antivirus 2009\Uninstall Antivirus 2009.lnk
c:\windows\IE4 Error Log.txt
c:\windows\system32\anenebod.ini
c:\windows\system32\bovekafu.dll
c:\windows\system32\dobenena.dll
c:\windows\system32\fimamile.dll
c:\windows\system32\kiyituhe.dll
c:\windows\system32\lgkqjz.dll
c:\windows\system32\lotoyeyo.dll
c:\windows\system32\mufazuri.dll
c:\windows\system32\nnvtlc.dll
c:\windows\system32\nnvtlc.dll.vir
c:\windows\system32\ogapesaz.ini
c:\windows\system32\unogefev.ini
c:\windows\system32\vefegonu.dll
c:\windows\system32\wukanipo.dll
c:\windows\system32\wukanipo.dll.vir
c:\windows\system32\zeladugu.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-15 au 2009-01-15 ))))))))))))))))))))))))))))))))))))
.

2009-01-14 21:14 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-01-14 21:14 . 2003-03-18 20:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
2009-01-14 21:13 . 2009-01-14 21:13 <REP> d-------- c:\program files\Alwil Software
2008-12-28 19:16 . 2008-12-28 19:16 <REP> d-------- c:\documents and settings\JPD\Application Data\DAEMON Tools Pro
2008-12-28 19:16 . 2008-12-28 19:16 <REP> d-------- c:\documents and settings\JPD\Application Data\DAEMON Tools
2008-12-28 19:15 . 2008-12-28 19:15 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2008-12-28 19:12 . 2008-12-28 19:12 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-12-28 19:11 . 2008-12-28 19:11 <REP> d-------- c:\documents and settings\JPD\Application Data\DAEMON Tools Lite
2008-12-20 10:36 . 2008-12-20 10:36 21 --a------ c:\windows\kit.ini
2008-12-15 22:21 . 2008-12-15 22:21 <REP> d--h----- c:\windows\PIF

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-15 21:30 --------- d-----w c:\documents and settings\JPD\Application Data\Azureus
2009-01-15 00:01 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2009-01-14 01:11 --------- d-----w c:\documents and settings\JPD\Application Data\dvdcss
2009-01-11 03:12 --------- d-----w c:\program files\Google
2009-01-07 23:35 --------- d-----w c:\documents and settings\JPD\Application Data\vlc
2008-12-28 17:09 --------- d-----w c:\program files\Java
2008-12-20 09:51 --------- d-----w c:\program files\Micro Application
2008-12-20 00:06 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-11 19:41 --------- d-----w c:\program files\Tetris
2008-12-09 17:37 --------- d-----w c:\program files\VideoLAN
2008-12-02 22:28 --------- d-----w c:\program files\SFR
2008-12-02 22:13 --------- d-----w c:\documents and settings\JPD\Application Data\InstallShield
2008-11-30 11:30 --------- d-----w c:\program files\AskBarDis
2008-11-30 11:30 --------- d-----w c:\documents and settings\All Users\Application Data\Azureus
2008-11-30 11:29 --------- d-----w c:\program files\Vuze
2008-11-29 11:56 --------- d-----w c:\documents and settings\JPD\Application Data\EoRezo
2008-11-28 21:25 --------- d-----w c:\program files\Crapette Jardin Trains
2008-11-28 17:26 --------- d-----w c:\program files\SFR ADSL
2008-11-27 18:22 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-27 18:22 --------- d-----w c:\documents and settings\JPD\Application Data\AdobeUM
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B014B81-4E12-46F9-806F-55867AF8FD3C}]
2001-08-28 13:00 296960 --a------ c:\windows\system32\winsystems.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-24 20:25 333192 --a------ c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-24 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-24 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-28 39408]
"TVAgent WiFi"="c:\program files\SFR ADSL\Box\Wizard\Agent_WiFi.exe" [2007-02-26 1106944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"MMTray"="c:\program files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-05-20 90112]
"Autoconfigurateur WiFi SFR"="c:\program files\SFR\Kit\WiFi\9wifi.exe" [2008-09-01 287984]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SoundMan"="SOUNDMAN.EXE" [2002-06-18 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [2005-12-06 35328]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-14 111184]
R3 BeWGU(BeWAN systems);Adaptateur WiFi(BeWAN systems);c:\windows\system32\drivers\BeWGU.sys [2008-11-28 489472]
R3 TV_551805_Sp50;TV_551805_Sp50 NDIS Protocol Driver;c:\windows\system32\drivers\TV_551805_Sp50.sys [2008-11-28 27072]
R4 ASKService;ASKService;c:\program files\AskBarDis\bar\bin\AskService.exe [2008-11-30 464264]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-14 20560]
S3 gtermddo;gtermddo;\??\c:\docume~1\JPD\LOCALS~1\Temp\gtermddo.sys --> c:\docume~1\JPD\LOCALS~1\Temp\gtermddo.sys [?]
S4 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [2008-11-30 234888]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{9009039c-f96b-4536-93d9-fa505f56a08c} - c:\windows\system32\nnvtlc.dll
BHO-{b27f91e3-015e-41a7-adaf-d9f205dacb6d} - c:\windows\system32\zeladugu.dll
HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\GestMaj.exe
HKLM-Run-CPM0f3ad8e2 - c:\windows\system32\wukanipo.dll
HKLM-Run-EoEngine - (no file)


.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uStart Page = hxxp://www.sfr.fr/kit/adsl/
uSearch Bar = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.09\AMVConverter\grab.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 4.09\MediaManager\grab.html
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-15 22:36:05
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MMTray = c:\program files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe?w???g?[??V??g?[??SOFTWARE\MusicMatch\MusicMatch Jukebox\4.0\TrayApp??????? ?w?????????????\?wp ?w???????w???g???????????g?RY??QY????????g?[??2???????X???8???? @??%X??%X?????????????????x?Y?????^?Q?????

Recherche de fichiers cachés ...


**************************************************************************
.
Heure de fin: 2009-01-15 22:38:53
ComboFix-quarantined-files.txt 2009-01-15 21:37:33

Avant-CF: 29,082,578,944 octets libres
Après-CF: 29,070,188,544 octets libres

149



contenu du rapport malware

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1656
Windows 5.1.2600 Service Pack 2

15/01/2009 23:05:23
mbam-log-2009-01-15 (23-05-23).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 72316
Temps écoulé: 19 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\JPD\Bureau\win32.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\bovekafu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\dobenena.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fimamile.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lgkqjz.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lotoyeyo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\mufazuri.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\nnvtlc.dll.vir.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wukanipo.dll.vir.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\zeladugu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP253\A0120909.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP254\A0120976.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP254\A0120977.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP255\A0121036.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP255\A0121037.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP255\A0121038.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP255\A0121039.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP255\A0121040.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP255\A0121041.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F931F927-0416-4344-8DC5-D1A5E8B8A706}\RP255\A0121045.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
A voir également:

1 réponse

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
16 janv. 2009 à 00:54
Bonsoir,

tu connais c:\windows\kit.ini ?

=====================
Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
gtermddo

File::
c:\windows\system32\winsystems.dll
c:\docume~1\JPD\LOCALS~1\Temp\gtermddo.sys

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B014B81-4E12-46F9-806F-55867AF8FD3C}]


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.


=====================

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
Tape sur "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

0