Sujet Précédent Sujet Suivant

Virus ou pas virus ?

Fermé
lecerveau2000 Messages postés 5 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 14 février 2009 - 12 févr. 2009 à 22:20
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 14 févr. 2009 à 16:27
Bonjour,
Suite à l'infection de mon PC par une multitude de trojans et d'espions en tous genres, Bullguard me signale deux infections qu'il a bloqué. Le fichier sicxxy.dll et regipusa.dll me sont renseignés comme virus, mais bloqués. Sur ce, je scanne le disque dur avec LopSD qui me supprime tout ce beau monde. Au redémarrage de l'ordi, celui-ci me m'informe sans cesse et à la moindre action que mes deux DLL qui sont encore présentes dans le répertoire SYSTEM32 ne sont pas des images Windows valides. Je ne sais plus que faire ?? Le moindre conseil sera le bien-venu.
Merci
A voir également:

5 réponses

Réponse 1 / 5
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
13 févr. 2009 à 05:48
Bonjour,


• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaitre. Poste le contenu de log.txt

0
lecerveau2000 Messages postés 5 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 14 février 2009
13 févr. 2009 à 07:10
Voilà le log de random

Logfile of random's system information tool 1.05 (written by random/random)
Run by Jean-François at 2009-02-13 07:05:41
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 49 GB (63%) free of 78 GB
Total RAM: 512 MB (29% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:05:58, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\BullGuard Software\BullGuard\BullGuardUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Browser MOUSE\mouse32a.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe
C:\Documents and Settings\Jean-François\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Jean-François.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
O2 - BHO: (no name) - {5b7d233c-fd1e-4a1b-bafe-56cf9a7ca77e} - C:\WINDOWS\system32\wutilowu.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\bullguard.exe" -boot
O4 - HKLM\..\Run: [U.S. Robotics Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mokumugaza] Rundll32.exe "C:\WINDOWS\system32\vetuyija.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BullGuard] "C:\Program Files\BullGuard Software\BullGuard\BullGuard.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [mokumugaza] Rundll32.exe "C:\WINDOWS\system32\vetuyija.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{636CF01C-F45C-461A-931A-9C7F32B390DD}: NameServer = 10.0.0.2
O20 - AppInit_DLLs: sicxxy.dll C:\WINDOWS\system32\segipusa.dll c:\windows\system32\tezojuyu.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: BullGuard LiveUpdate (BGLiveSvc) - BullGuard Software - C:\Program Files\BullGuard Software\BullGuard\BullGuardUpdate.exe
O23 - Service: BGRaSvc - BullGuard - C:\Program Files\BullGuard Software\BullGuard\support\bgrasvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
0
Réponse 2 / 5
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
13 févr. 2009 à 07:18
C'est une infection Vundo apparemment...


• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici

0
lecerveau2000 Messages postés 5 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 14 février 2009
13 févr. 2009 à 09:40
Ci apres, le rapport du scan.
J'ai redémarer la machine, mais malheureusement, les symptomes sont toujours pareils. Déjà au démarrage, je dois cliquer une douzaine de fois sur la mention " C:\WINDOWS\system32\siicxxy.dll n'est pas une image Windows valide.
Le même message avec segipusa.dll.
Merci pour l'aide.


Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1757
Windows 5.1.2600 Service Pack 3

13/02/2009 9:32:37
mbam-log-2009-02-13 (09-32-37).txt

Type de recherche: Examen rapide
Eléments examinés: 65939
Temps écoulé: 13 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5b7d233c-fd1e-4a1b-bafe-56cf9a7ca77e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5b7d233c-fd1e-4a1b-bafe-56cf9a7ca77e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mokumugaza (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
lecerveau2000 Messages postés 5 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 14 février 2009 > lecerveau2000 Messages postés 5 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 14 février 2009
13 févr. 2009 à 11:37
apres avoir parcouru quelque liens sur ce forum, j'ai exécuté Combofix (j'ai lu le tuto avant). Mon problême est presque résolu, puisque plus aucun message concernant mes deux DLL malicieuses. Maintenant je n'ai plus que Bullguard qui me dit que WINLOGON est un virus et il le bloque.
Ci-joint, le raport de combofix.

Encore et toujours merci pour les conseils et infos

ComboFix 09-02-12.03 - Jean-Fran‡ois 2009-02-13 10:45:09.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.512.300 [GMT 1:00]
Lancé depuis: c:\documents and settings\Jean-Fran‡ois\Bureau\ComboFix.exe
AV: BullGuard Antivirus *On-access scanning enabled* (Updated)
FW: BullGuard Firewall *disabled*
* Un nouveau point de restauration a été créé
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
c:\windows\system32\wuwisahe.dll

----- BITS: Il y a peut-être des sites infectés -----

hxxp://77.74.48.105
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-13 au 2009-02-13 ))))))))))))))))))))))))))))))))))))
.

2009-02-13 09:14 . 2009-02-13 09:16 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-13 09:14 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-13 09:14 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-13 07:05 . 2009-02-13 07:05 <REP> d-------- C:\rsit
2009-02-13 07:04 . 2009-02-13 07:04 <REP> d-------- c:\program files\Trend Micro
2009-02-12 19:16 . 2009-02-12 19:17 <REP> d-------- C:\SmitfraudFix
2009-02-12 19:13 . 2009-01-10 15:19 1,660,821 --a------ C:\SmitfraudFix.exe
2009-02-12 14:23 . <REP> c:\documents and settings\Jean-François\Application Data\Malwarebytes
2009-02-12 14:22 . 2009-02-12 14:22 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-12 14:09 . 2009-02-12 14:22 <REP> d-------- C:\Lop SD
2009-02-12 10:52 . 2009-02-12 14:06 <REP> d-------- c:\program files\SUPERAntiSpyware
2009-02-12 10:52 . 2009-02-12 10:52 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-02-12 10:49 . <REP> c:\documents and settings\Jean-François\Application Data\U3
2009-02-11 16:12 . 2009-02-11 16:12 2,724 ---hs---- c:\windows\system32\sekelumo.dll
2009-02-11 04:16 . 2009-02-11 04:16 2,724 ---hs---- c:\windows\system32\newuyane.dll
2009-02-10 16:12 . 2009-02-10 16:12 2,724 ---hs---- c:\windows\system32\revulazo.dll
2009-02-09 21:25 . 2009-02-09 21:25 2,724 ---hs---- c:\windows\system32\yowajaka.dll
2009-02-09 21:25 . 2009-02-09 21:25 2,724 ---hs---- c:\windows\system32\buwidodu.dll
2009-02-09 09:24 . 2009-02-09 09:24 2,724 ---hs---- c:\windows\system32\wiyirive.dll
2009-02-08 16:08 . 2009-02-08 16:08 2,560 --a------ c:\windows\_MSRSTRT.EXE
2009-02-01 13:43 . 2009-02-01 13:44 <REP> d-------- c:\documents and settings\Administrateur\Application Data\BullGuard
2009-01-31 22:09 . 2009-01-31 22:09 2,724 ---hs---- c:\windows\system32\zatavido.dll
2009-01-31 22:04 . 2009-01-31 22:04 2,724 ---hs---- c:\windows\system32\himepepu.dll
2009-01-30 04:37 . 2009-01-30 04:37 2,724 ---hs---- c:\windows\system32\tipajile.dll
2009-01-26 17:50 . 2009-01-26 17:50 120 ---hs---- c:\windows\system32\ohunotep.ini
2009-01-24 19:24 . 2009-01-24 19:24 120 ---hs---- c:\windows\system32\unowahib.ini
2009-01-24 07:23 . 2009-01-24 07:23 120 ---hs---- c:\windows\system32\obuyewor.ini
2009-01-22 20:23 . 2009-01-22 20:23 134,260 --------- c:\windows\system32\sicxxy.dll
2009-01-22 20:23 . 2009-01-22 20:23 120 ---hs---- c:\windows\system32\ujigewuy.ini
2009-01-21 21:17 . 2009-01-21 21:17 1,389,340 ---hs---- c:\windows\system32\ujatiyov.ini
2009-01-21 09:17 . 2009-01-21 09:17 1,386,915 ---hs---- c:\windows\system32\alorofer.ini
2009-01-20 21:16 . 2009-01-20 21:17 1,391,211 ---hs---- c:\windows\system32\ujiyesuv.ini
2009-01-13 23:40 . 2009-01-20 21:14 1,391,220 ---hs---- c:\windows\system32\ijiwuboy.ini
2009-01-13 11:41 . 2009-01-13 11:41 1,285,805 ---hs---- c:\windows\system32\uwimufez.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-13 09:21 --------- d-----w c:\documents and settings\All Users\Application Data\BullGuard
2009-02-13 06:25 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2009-02-12 09:31 --------- d-----w c:\program files\Mozilla Thunderbird
2009-02-08 15:21 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-02-08 15:10 --------- d-----w c:\program files\Copernic Agent
2009-02-08 15:00 --------- d-----w c:\documents and settings\Jean-François\Application Data\BullGuard
2009-01-26 16:50 --------- d-----w c:\program files\Google
2008-12-21 11:22 --------- d-----w c:\program files\Java
2008-09-19 18:04 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091920080920\index.dat
.

------- Sigcheck -------

2004-08-20 00:10 506368 123eea158f74d0f67a51dcdf065d1091 c:\windows\$NtServicePackUninstall$\winlogon.exe
md5deep: c:\windows\ServicePackFiles\i386\winlogon.exe: Permission denied
md5deep: c:\windows\system32\winlogon.exe: Permission denied
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-21 68856]
"BullGuard"="c:\program files\BullGuard Software\BullGuard\BullGuard.exe" [2008-04-11 308552]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"U.S. Robotics Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-10-22 86016]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-21 136600]
"FLMOFFICE4DMOUSE"="c:\program files\Browser MOUSE\mouse32a.exe" [2007-10-26 360448]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-15 196608]
"BullGuard"="c:\program files\BullGuard Software\BullGuard\bullguard.exe" [2008-04-11 308552]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\windows\system32\segipusa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=
"c:\\Program Files\\Browser MOUSE\\mouse32a.exe"=
"c:\\WINDOWS\\system32\\nvsvc32.exe"=
"c:\\Program Files\\BullGuard Software\\BullGuard\\BullGuardUpdate.exe"=
"c:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"=
"c:\\Program Files\\Analog Devices\\SoundMAX\\SMAgent.exe"=
"c:\\Program Files\\Fichiers communs\\Microsoft Shared\\VS7DEBUG\\MDM.EXE"=
"c:\\WINDOWS\\system32\\BCMWLTRY.EXE"=

R1 VFILT;BullGuard Firewall Kernel Driver;c:\program files\BullGuard Software\BullGuard\fwengine\Filtnt.sys [2006-11-02 125216]
R2 BdFileSpy;BullGuard File Monitor Driver;c:\windows\system32\drivers\BdFileSpy.sys [2007-11-14 50896]
R2 BsFileScan;BullGuard File Scan Service;c:\windows\System32\svchost.exe -k BullGuard [2003-04-24 14336]
R2 BsFwall;BullGuard Firewall Service;c:\windows\System32\svchost.exe -k BullGuardFw [2003-04-24 14336]
R2 BsMailProxy;BullGuard Email Monitoring Service;c:\windows\System32\svchost.exe -k BullGuard [2003-04-24 14336]
R3 Reconn;BullGuard Email Monitor;c:\program files\BullGuard Software\BullGuard\Reconn.sys [2006-11-02 16984]
S3 ADBLOCK.DLL;BullGuard Firewall Adware Plugin;\??\c:\program files\BullGuard Software\BullGuard\FwEngine\AdBlock.dll --> c:\program files\BullGuard Software\BullGuard\FwEngine\AdBlock.dll [?]
S3 ASUSHWIO;ASUSHWIO;\??\c:\windows\system32\drivers\ASUSHWIO.sys --> c:\windows\system32\drivers\ASUSHWIO.sys [?]
S3 BGRaSvc;BGRaSvc;c:\program files\BullGuard Software\BullGuard\support\bgrasvc.exe [2008-03-18 79176]
S3 HTMLFILT.DLL;BullGuard Firewall HTML Plugin;\??\c:\program files\BullGuard Software\BullGuard\FwEngine\HtmlFilt.dll --> c:\program files\BullGuard Software\BullGuard\FwEngine\HtmlFilt.dll [?]
S3 HTTPFILT.DLL;BullGuard Firewall HTTP Plugin;\??\c:\program files\BullGuard Software\BullGuard\FwEngine\HttpFilt.dll --> c:\program files\BullGuard Software\BullGuard\FwEngine\HttpFilt.dll [?]
S3 PROTECT.DLL;BullGuard Firewall Protection Plugin;c:\program files\BullGuard Software\BullGuard\fwengine\Protect.dll [2006-11-02 16960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
BullGuard REG_MULTI_SZ BgMainSvc BsFileScan BsMailProxy
BullGuardFw REG_MULTI_SZ BsFwall

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{628da58e-f8ea-11dd-b183-000ea68aaa47}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.be/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {636CF01C-F45C-461A-931A-9C7F32B390DD} = 10.0.0.2
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 10:56:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

c:\windows\explorer.exe [1972] 0x82173DA0

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\windows\System32\BCMLogon.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\program files\BullGuard Software\BullGuard\BullGuardUpdate.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wltray.exe
.
**************************************************************************
.
Heure de fin: 2009-02-13 11:08:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-13 10:08:20

Avant-CF: 53.517.312.000 octets libres
AprÞs-CF: 54,546,677,760 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

196 --- E O F --- 2008-12-18 21:17:34
0
Réponse 3 / 5
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
13 févr. 2009 à 22:28
"apres avoir parcouru quelque liens sur ce forum, j'ai exécuté Combofix"


Si tu fais des manipulations à côté de ce que je te propose, on ne va pas s'en sortir...
Combofix est un outil très puissant, qui peut faire des dégâts s'il est mal utilisé : c'est ton cas, puisque tu n'as pas désactivé ton antivirus avant d'exécuter Combofix, ce qui peut créer de gros problèmes...

Je vais regarder le rapport.

0
Réponse 4 / 5
lecerveau2000 Messages postés 5 Date d'inscription jeudi 12 février 2009 Statut Membre Dernière intervention 14 février 2009
14 févr. 2009 à 11:39
Depuis hier, l'ordi fonctionne normalement, plus de mise en garde de Bullguard etc. Je crois que le problème peut etre considéré comme résolu.
En tout cas, un grand merci pour les infos et conseils.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
14 févr. 2009 à 16:27
Non le problème n'est pas résolu, il reste des fichiers infectés.
Je te rappelle que Bullgard est l'antivirus qui n'a pas vu l'infection arriver sur ton ordinateur... Comme tout antivirus, ce n'est pas parce qu'il ne dit rien qu'il n'y a pas d'infection



/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour lecerveau2000, il n'est pas transposable sur un autre ordinateur !


Désactives toutes tes protections, puis fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\windows\system32\sekelumo.dll
c:\windows\system32\newuyane.dll
c:\windows\system32\revulazo.dll
c:\windows\system32\yowajaka.dll
c:\windows\system32\buwidodu.dll
c:\windows\system32\wiyirive.dll
c:\windows\system32\zatavido.dll
c:\windows\system32\himepepu.dll
c:\windows\system32\tipajile.dll
c:\windows\system32\ohunotep.ini
c:\windows\system32\unowahib.ini
c:\windows\system32\obuyewor.ini
c:\windows\system32\sicxxy.dll
c:\windows\system32\ujigewuy.ini
c:\windows\system32\ujatiyov.ini
c:\windows\system32\alorofer.ini
c:\windows\system32\ujiyesuv.ini
c:\windows\system32\ijiwuboy.ini
c:\windows\system32\uwimufez.ini

------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt


0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses