Comment supprimer le Trojan VundoG ?

Search Navipromo version 3.7.7 commencé le 30/05/2009 à 9:40:56,06

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1800+ )
BIOS : Ver 1.65
USER : Alain ( Administrator )
BOOT : Normal boot

Antivirus : Trend Micro Internet Security 16.10.2012 (Activated)
Firewall : Pare-feu personnel de Trend Micro 5.2 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:28 Go)
D:\ (Local Disk) - NTFS - Total:37 Go (Free:23 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Alain\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Alain\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Alain\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Alain\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig
HKEY_CURRENT_USER\Software\mc

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Alain\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

C:\WINDOWS\system32\dJTEeMoq.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
ComboFix 09-05-29.01 - Alain 30/05/2009 11:46.2 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.767.630 [GMT 2:00]
Lancé depuis: c:\documents and settings\Alain\Bureau\ComboFix.exe
AV: Trend Micro Internet Security *On-access scanning enabled* (Updated) {7D2296BC-32CC-4519-917E-52E652474AF5}
FW: Pare-feu personnel de Trend Micro *enabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\dJTEeMoq.ini
c:\windows\system32\dJTEeMoq.ini2
c:\windows\system32\E95THK16.EXE
c:\windows\system32\encapi32.dll
c:\windows\system32\i
c:\windows\system32\qoMeETJd.dll
c:\windows\system32\wrsppqeh.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32
-------\Service_sysdrv32


((((((((((((((((((((((((((((( Fichiers créés du 2009-04-28 au 2009-05-30 ))))))))))))))))))))))))))))))))))))
.

2009-05-30 08:55 . 2009-05-30 08:55 139305 --sh--r c:\windows\memngr.exe
2009-05-30 08:55 . 2009-05-30 08:55 139305 ----a-w c:\windows\system32\Ms08nx.exe
2009-05-30 07:39 . 2009-05-30 09:20 -------- d-----w c:\program files\Navilog1
2009-05-30 07:36 . 2009-05-30 07:36 -------- d-----w c:\program files\CCleaner
2009-05-30 07:21 . 2009-05-30 07:27 -------- d-----w C:\GenProc
2009-05-30 07:01 . 2008-05-14 14:54 595208 ----a-w c:\documents and settings\All Users\Application Data\Trend Micro\OE\oe_engine\[u]0/u1\tmaseng.dll
2009-05-22 17:13 . 2009-05-22 17:13 -------- d-----w c:\windows\system32\Quarantine
2009-05-17 17:00 . 2008-05-14 14:54 595208 ----a-w c:\documents and settings\All Users\Application Data\Trend Micro\OE\tmaseng.dll
2009-05-17 16:59 . 2008-03-07 07:17 326920 ----a-w c:\documents and settings\All Users\Application Data\Trend Micro\OE\auhome\patchbld.dll
2009-05-17 16:59 . 2008-03-07 07:17 231176 ----a-w c:\documents and settings\All Users\Application Data\Trend Micro\OE\auhome\PATCHW32.DLL
2009-05-17 16:59 . 2008-03-07 07:17 214280 ----a-w c:\documents and settings\All Users\Application Data\Trend Micro\OE\auhome\ciussi32.dll
2009-05-17 16:59 . 2008-03-07 07:17 210184 ----a-w c:\documents and settings\All Users\Application Data\Trend Micro\OE\auhome\ciuas32.dll
2009-05-17 16:59 . 2008-03-07 07:17 195848 ----a-w c:\documents and settings\All Users\Application Data\Trend Micro\OE\auhome\patch.exe
2009-05-17 16:59 . 2008-03-07 07:17 1468680 ----a-w c:\documents and settings\All Users\Application Data\Trend Micro\OE\auhome\TmUpdate.dll
2009-05-17 15:15 . 2009-05-17 15:15 -------- d-----w c:\windows\system32\log
2009-05-17 15:03 . 2009-04-02 14:00 52752 ----a-w c:\windows\system32\drivers\tmactmon.sys
2009-05-17 15:03 . 2009-04-02 14:00 52624 ----a-w c:\windows\system32\drivers\tmevtmgr.sys
2009-05-17 15:03 . 2009-04-02 14:00 142864 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-05-17 15:02 . 2009-05-17 15:03 -------- d-----w c:\program files\Trend Micro
2009-05-13 11:39 . 2009-05-13 11:41 -------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2009-05-13 11:10 . 2009-05-13 11:10 -------- d-----w c:\documents and settings\Alain\Application Data\Uniblue
2009-05-13 08:54 . 2009-05-13 08:54 -------- d--h--w c:\windows\$hf_mig$

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-29 16:02 . 2008-08-09 16:15 10752 ----a-w c:\windows\DCEBoot.exe
2009-05-27 19:15 . 2009-04-27 19:13 -------- d-----w c:\documents and settings\All Users\Application Data\CanonIJPLM
2009-05-27 16:49 . 2007-07-22 12:10 -------- d-----w c:\documents and settings\Alain\Application Data\uTorrent
2009-05-17 16:57 . 2007-11-25 14:20 -------- d-----w c:\documents and settings\All Users\Application Data\Trend Micro
2009-05-17 14:57 . 2007-07-22 11:41 -------- d-----w c:\program files\Lavasoft
2009-05-13 11:29 . 2007-07-22 11:42 -------- d-----w c:\documents and settings\Alain\Application Data\Lavasoft
2009-05-13 11:15 . 2008-08-05 18:52 -------- d-----w c:\program files\Canon
2009-04-27 19:19 . 2009-04-27 19:19 -------- d--h--w c:\documents and settings\All Users\Application Data\CanonIJEPPEX
2009-04-27 19:14 . 2009-04-27 19:14 -------- d--h--w c:\documents and settings\All Users\Application Data\CanonIJSolutionMenu
2009-04-27 19:13 . 2009-04-27 19:13 -------- d--h--w c:\documents and settings\All Users\Application Data\CanonIJMyPrinter
2009-04-27 18:32 . 2007-08-22 09:52 -------- d-----w c:\program files\Fichiers communs\Canon
2009-04-27 18:31 . 2009-04-27 18:31 -------- d--h--w c:\documents and settings\All Users\Application Data\CanonBJ
2009-04-27 18:30 . 2009-04-27 18:30 -------- d--h--w c:\program files\CanonBJ
2009-04-27 17:27 . 2008-01-19 17:22 -------- d-----w c:\program files\Google
2009-04-20 17:24 . 2007-07-22 16:17 -------- d-----w c:\program files\DivX
2009-04-20 17:22 . 2009-04-20 17:22 -------- d-----w c:\program files\Fichiers communs\DivX Shared
2009-04-19 07:30 . 2009-02-21 12:27 -------- d-----w c:\program files\Mindscape
2009-04-12 16:04 . 2009-04-12 16:04 -------- d-----w c:\program files\TomTom International B.V
2009-04-12 16:04 . 2008-07-06 07:52 -------- d-----w c:\program files\TomTom HOME
2009-03-29 07:52 . 2001-08-28 12:00 48856 ----a-w c:\windows\system32\perfc00C.dat
2009-03-29 07:52 . 2001-08-28 12:00 368076 ----a-w c:\windows\system32\perfh00C.dat
2009-02-24 19:34 . 2009-02-24 19:34 1044480 ----a-w c:\program files\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:34 . 2009-02-24 19:34 200704 ----a-w c:\program files\mozilla firefox\plugins\ssldivx.dll
2001-08-28 12:00 . 2001-08-28 12:00 94864 --sh--w c:\windows\twain.dll
2004-08-19 14:09 . 2001-08-28 12:00 50688 --sh--w c:\windows\twain_32.dll
2007-07-22 16:18 . 2007-07-22 16:18 11270 --sha-w c:\windows\system32\KGyGaAvL.sys
2004-08-19 14:09 . 2001-08-28 12:00 413696 --sh--w c:\windows\system32\msvcp60.dll
2004-08-19 14:10 . 2001-08-28 12:00 12288 --sh--w c:\windows\system32\regsvr32.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME\TomTomHOMERunner.exe" [2009-04-08 251240]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"OE"="c:\program files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe" [2008-03-07 492808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
"EM_EXEC"="c:\progra~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2001-09-19 35328]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-10-14 344064]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-11 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-18 1848648]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2008-07-29 1398024]
"Windows Data Serivce"="memngr.exe" - c:\windows\memngr.exe [2009-05-30 139305]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"="grpconv -o" [X]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=

S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [17/05/2009 17:03 52624]
S2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [07/03/2008 09:17 36368]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME\TomTomHOMEService.exe [08/04/2009 12:38 92008]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [20/01/2008 13:47 1527900]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [08/10/2008 14:48 33752]
S3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [07/03/2008 09:17 333328]
S3 TmPfw;Trend Micro Personal Firewall;c:\progra~1\TRENDM~1\INTERN~1\TmPfw.exe [17/05/2009 17:03 488768]
S3 tmproxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [17/05/2009 17:04 648456]
.
Contenu du dossier 'Tâches planifiées'
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{400ad774-c1fb-4d95-a551-a88cdadbfe90} - (no file)
BHO-{DE5E1E33-7F49-473B-A816-FF97A28682CB} - c:\windows\system32\qoMeETJd.dll
HKCU-Run-Microsoft Works Update Detection - c:\program files\Microsoft Works\WkDetect.exe
HKLM-Run-WSSVC - c:\windows\system\smsc.exe
HKLM-RunOnce-<NO NAME> - (no file)
ShellExecuteHooks-{7173e4d9-44f4-47d5-a930-cd5a46fdf2ae} - (no file)
Notify-qoMgfFUN - (no file)
SafeBoot-procexp90.Sys
SafeBoot-SVCWINSPOOL
SafeBoot-WM System Decode Application


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Analyser avec LeechGet - file://c:\program files\LeechGet 2004\\Parser.html
IE: Télécharger en utilisant l'assistant LeechGet - file://c:\program files\LeechGet 2004\\Wizard.html
IE: Télécharger en utilisant LeechGet - file://c:\program files\LeechGet 2004\\AddUrl.html
DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} - file://e:\content\include\XPPatchInstaller.CAB
DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} - hxxp://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} - file://e:\content\include\msSecUcd.cab
FF - ProfilePath - c:\documents and settings\Alain\Application Data\Mozilla\Firefox\Profiles\m7c5vzxl.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 11:54
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(224)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1544)
c:\windows\system32\msi.dll
.
Heure de fin: 2009-05-30 12:00 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-30 10:00

Avant-CF: 30 891 974 656 octets libres
Après-CF: 30 839 656 448 octets libres

174
Clean Navipromo version 3.7.7 commencé le 30/05/2009 à 11:17:42,72

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1800+ )
BIOS : Ver 1.65
USER : Alain ( Administrator )
BOOT : Fail-safe boot

Antivirus : Trend Micro Internet Security 16.10.2012 (Activated)
Firewall : Pare-feu personnel de Trend Micro 5.2 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:28 Go)
D:\ (Local Disk) - NTFS - Total:37 Go (Free:23 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage executé en mode sans échec


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Alain\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Alain\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Alain\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Alain\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Alain\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Alain\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

C:\WINDOWS\system32\dJTEeMoq.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !


*** Nettoyage terminé le 30/05/2009 à 11:20:33,89 ***

Search Navipromo version 3.7.7 commencé le 30/05/2009 à 9:40:56,06

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1800+ )
BIOS : Ver 1.65
USER : Alain ( Administrator )
BOOT : Normal boot

Antivirus : Trend Micro Internet Security 16.10.2012 (Activated)
Firewall : Pare-feu personnel de Trend Micro 5.2 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:28 Go)
D:\ (Local Disk) - NTFS - Total:37 Go (Free:23 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)


Recherche executé en mode normal


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Alain\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Alain\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Alain\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Alain\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig
HKEY_CURRENT_USER\Software\mc

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Alain\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

C:\WINDOWS\system32\dJTEeMoq.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 30/05/2009 à 9:44:38,70 ***
MSNFix 1.760

C:\Documents and Settings\Alain\Bureau\MsnFix
Fix exécuté le 30/05/2009 - 11:22:52,30 By Alain
mode sans échec

************************ Recherche les fichiers présents

... C:\WINDOWS\system\smsc.exe
... C:\WINDOWS\system32\mcrh.tmp
... C:\log.txt
... C:\WINDOWS\System\smsc.exe
... C:\WINDOWS\system\smsc.exe
... C:\WINDOWS\system32\mcrh.tmp

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\WINDOWS\system32\avgvrark.exe
.. OK ... C:\DOCUME~1\Alain\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\Alain\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\system32\cftmon.exe
.. OK ... C:\WINDOWS\system\smsc.exe
.. OK ... C:\WINDOWS\system32\mcrh.tmp
.. OK ... C:\log.txt
.. OK ... C:\WINDOWS\System\smsc.exe
.. OK ... C:\WINDOWS\system\smsc.exe
.. OK ... C:\WINDOWS\system32\mcrh.tmp



************************ Nettoyage du registre



************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090530112911
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file ....



-- final size 0.77 Kb / 20 lines
-- entry Found : 0 / Entry check : 310

End .............................. 57.99 Secondes





Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé





************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090530114125
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file ....



-- final size 0.77 Kb / 20 lines
-- entry Found : 0 / Entry check : 310

End .............................. 68.95 Secondes



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14:10, on 30/05/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\TomTom HOME\TomTomHOMERunner.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\WINDOWS\memngr.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME\TomTomHOMEService.exe
C:\Program Files\Trend Micro\BM\TMBMSRV.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [Windows Data Serivce] memngr.exe
O4 - HKLM\..\RunOnce: [TSC] "C:\Program Files\Trend Micro\Internet Security\tsc.exe" /HD
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OE] "C:\Program Files\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.new2.foto.com/ImageUploader4.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Composant de commande centrale Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME\TomTomHOMEService.exe

Apparemment, le problème est résolu depuis le scan avec Nod32.
Voici le rapport:
C:\System Volume Information\_restore{1C9520D4-54D7-4DD8-A226-0A01B13E5784}\RP528\A0051446.ini Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{1C9520D4-54D7-4DD8-A226-0A01B13E5784}\RP528\A0051598.ini Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{1C9520D4-54D7-4DD8-A226-0A01B13E5784}\RP528\A0051611.ini Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{1C9520D4-54D7-4DD8-A226-0A01B13E5784}\RP528\A0051641.dll une variante de Win32/Kryptik.OF cheval de troie nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{1C9520D4-54D7-4DD8-A226-0A01B13E5784}\RP528\A0051783.exe Win32/Packed.Autoit.Gen application supprimé - mis en quarantaine
D:\Mes documents sur D\Téléchargements\ACEMCP601PRO.exe une variante de Win32/Kryptik.GK cheval de troie supprimé - mis en quarantaine

Depuis, plus d'alertes de PC Cillin.
Pourvu que ça dure....
Mille fois merci pour votre aide.