Virus nmdfgds0.dll

Ingrid29200 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Je viens solliciter votre aide aujourd'hui car depuis plusieurs jours mon ordinateur portable est infecté. C'est un ordi que j'utilise surtout pour la bureautique et stocker mes photos, très peu pour internet donc j'avais installé Avast.
Je n'arrive pas à me débarasser de ce fameux nmdfgds0.dll Après plusieurs recherche, j'ai vu qu'il fallait lancer "hijackthis" j'ai le rapport et j'aimerai que quelqu'un m'aide mais le seul hic: mon rapport est sur clé USB et j'ai peur de la brancher sur mon autre ordi et de le contaminer! Qu'en pensez-vous?
Merci par avance,

Ingrid
Configuration: Windows XP Internet Explorer 7.0

10 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    lors de la desinfection findykill s'occupe de vacciner donc pas besoin de le refaire

    et pour Le fichier olhrwef.exe

    c'est l'infection qui se transmet par clé usb et lié à nmdfgds0.dll

    et en aucun cas VIRUT

    bonne suite
    1
  2. saperlipopette
     
    bonjours,

    Vous avez une infection de vos supports USB.

    Téléchargement et tutoriel : https://forum.pcastuces.com/findykill-f31s45.htm
    > Suivez ces instructions et produisez le rapport de recherche que vous posterez par la suite..
    0
    1. Ingrid29200
       
      Tout d'abord merci de t'occuper de mon problème.
      Alors voici mon rapport:


      ############################## | FindyKill V6.005 |

      # User : Delbauche (Administrateurs) # INGRID
      # Update on 11/07/09 by Chiquitine29 & C_XX
      # Start at: 12:42:19 | 12/07/2009
      # Website : http://pagesperso-orange.fr/NosTools/index.html

      # mobile AMD Athlon(tm) XP 1600+
      # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 7.0.5730.13
      # Windows Firewall Status : Enabled
      # AV : avast! antivirus 4.8.1335 [VPS 090317-0] 4.8.1335 [ Enabled | (!) Outdated ]

      # A:\ # Lecteur de disquettes 3 ½ pouces
      # C:\ # Disque fixe local # 18,61 Go (7,03 Go free) # FAT32
      # D:\ # Disque CD-ROM # 4,1 Go (0 Mo free) [Nouveau] # CDFS
      # E:\ # Disque amovible # 245,71 Mo (229 Mo free) [KINGSTON] # FAT
      # F:\ # Disque amovible # 3,73 Go (1,13 Go free) # FAT32

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\carpserv.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
      C:\Program Files\NETGEAR\WG111v3\WG111v3.exe
      C:\Program Files\OpenOffice.org 3\program\soffice.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\OpenOffice.org 3\program\soffice.bin
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\System32\wbem\wmiprvse.exe

      ################## | Registre Startup |

      R1 - HKCU\..\Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      R1 - HKCU\..\Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      R1 - HKCU\..\Main: "Start Page"="https://www.sfr.fr/offres-numericable.html"
      F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      F2 - HKLM\..\logon:"DefaultUserName"="Delbauche"
      F2 - HKLM\..\logon:"AltDefaultUserName"="Delbauche"
      F2 - HKLM\..\logon:"LegalNoticeCaption"=""
      F2 - HKLM\..\logon:"LegalNoticeText"=""
      04 - HKLM\..\Run: CARPService=carpserv.exe
      04 - HKLM\..\Run: Apoint=C:\Program Files\Apoint2K\Apoint.exe
      04 - HKLM\..\Run: LManager=C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
      04 - HKLM\..\Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      04 - HKLM\..\Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
      04 - HKLM\..\Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
      04 - HKCU\..\Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
      04 - HKCU\..\Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      04 - HKCU\..\Run: cdoosoft=C:\WINDOWS\system32\olhrwef.exe

      ################## | Fichiers # Dossiers infectieux |

      Présent ! C:\WINDOWS\system32\nmdfgds0.dll [7202c09a19c381ced1f08a019c800518]
      Présent ! C:\WINDOWS\system32\olhrwef.exe [e4b3079a885277bc41ca39c30a0658ea]

      ################## | C:\Documents and Settings\Delbauche\Temporary Internet Files |


      ################## | All Drives ... |

      C:\autorun.inf # -> fichier appelé : "C:\q9.cmd" ( Présent ! )
      Présent ! C:\q9.cmd [e4b3079a885277bc41ca39c30a0658ea]
      Présent ! C:\autorun.inf [d3d1a7ae9f7320c8611f1fd4e610c062]
      E:\autorun.inf # -> fichier appelé : "E:\q9.cmd" ( Présent ! )
      Présent ! E:\q9.cmd [e4b3079a885277bc41ca39c30a0658ea]
      Présent ! E:\autorun.inf [d3d1a7ae9f7320c8611f1fd4e610c062]
      F:\autorun.inf # -> fichier appelé : "F:\q9.cmd" ( Présent ! )
      Présent ! F:\q9.cmd [e4b3079a885277bc41ca39c30a0658ea]
      Présent ! F:\autorun.inf [d3d1a7ae9f7320c8611f1fd4e610c062]

      ################## | Registre # Clés Run infectieuses |

      Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
      Présent ! HKU\S-1-5-21-3238835185-79857088-16178464-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
      Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
      Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys
      Présent ! HKLM\SYSTEM\ControlSet004\Services\AVPsys
      Présent ! HKCU\Software\Local AppWizard-Generated Applications\PhLeAutoRun
      Présent ! HKU\S-1-5-21-3238835185-79857088-16178464-1005\Software\Local AppWizard-Generated Applications\PhLeAutoRun
      Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

      ################## | Registre # Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\{355b2120-caf3-11dd-ba65-00c09f194bf9}
      Shell\AutoRun\command =E:\q9.cmd
      Shell\open\Command =E:\q9.cmd

      HKCU\..\..\Explorer\MountPoints2\{897baec0-1e1b-11de-bb08-00c09f194bf9}
      Shell\AutoRun\command =E:\q9.cmd
      Shell\open\Command =E:\q9.cmd

      HKCU\..\..\Explorer\MountPoints2\{af8e5cd0-4fab-11de-bb39-00c09f194bf9}
      Shell\AutoRun\command =E:\q9.cmd
      Shell\open\Command =E:\q9.cmd

      HKCU\..\..\Explorer\MountPoints2\{b53fd510-caee-11dd-ba63-00c09f194bf9}
      Shell\AutoRun\command =F:\q9.cmd
      Shell\open\Command =F:\q9.cmd

      HKCU\..\..\Explorer\MountPoints2\{f6736b40-3253-11de-bb1a-00c09f194bf9}
      Shell\AutoRun\command =E:\q9.cmd
      Shell\open\Command =E:\q9.cmd

      ################## | Etat / Services / Informations |

      # Affichage des fichiers cachés : OK
      # Mode sans echec : OK
      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
      # Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
      # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


      ################## | Cracks / Keygens / Serials |


      ################## | ! Fin du rapport # FindyKill V6.005 ! |
      0
  3. saperlipopette
     
    re,

    Commencez avec ceci :
    Relancer le logiciel en appliquant l'option de Suppression, pour le quel vous posterez le rapport.
    Vous suivrez avec l'option de Vaccination.

    Par la suite..
    Le fichier olhrwef.exe ayant été détecté dans le rapport de Recherche précédent.
    Ce fichier correspondant à un type d'infection très virulent, soit VIRUT.

    À moins d'un "post" avis contraire, qui infirmerait l'infection Virut.

    Alors par mesure de sécurité, vous suivrez ces procédures : http://www.commentcamarche.net/faq/sujet 16138 comment supprimer virut

    La procédure est quand même plutôt longue..
    Perso.., je ne suis pas certain qu'il s'agisse de Virut, même s'il y a quelques possibilité.
    Alors faites au moins quelques scan : rmvirut (d'AVG).. et un ou deux autre logiciels proposés.
    S'ils y avaient des détections spécifiques à une infection Virut, suivez avec l'ensemble de la procédure..
    0
  4. saperlipopette
     
    Merci de votre réponse jlpjlp,

    La recherche pour olhrwef.exe proposant dans un % de cas, des probabilités de Virut, sur ce site :
    https://www.broadcom.com/

    Ingrid vous venez d'éviter une fastidieuse procédure !
    0
    1. Ingrid29200
       
      Re,

      Merci pour les infos, je vais suivre les procédures et je reviens!
      Merci merci.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as lu:

    lors de la desinfection findykill s'occupe de vacciner donc pas besoin de le refaire

    et pour Le fichier olhrwef.exe

    c'est l'infection qui se transmet par clé usb et lié à nmdfgds0.dll

    et en aucun cas VIRUT

    donc pas besoin de faire la procedure virut

    pour verifier après nettoyage avec findykill tu peux faire un scan de chez kaspersky et coller le rapport

    https://www.informatruc.com
    0
  7. Ingrid29200
     
    Voici le rapport après suppression:

    ############################## | FindyKill V6.005 |

    # User : Delbauche (Administrateurs) # INGRID
    # Update on 11/07/09 by Chiquitine29 & C_XX
    # Start at: 20:08:31 | 12/07/2009
    # Website : http://pagesperso-orange.fr/NosTools/index.html

    # mobile AMD Athlon(tm) XP 1600+
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 7.0.5730.13
    # Windows Firewall Status : Enabled
    # AV : avast! antivirus 4.8.1335 [VPS 090317-0] 4.8.1335 [ Enabled | (!) Outdated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 18,61 Go (7,81 Go free) # FAT32
    # D:\ # Disque CD-ROM # 4,1 Go (0 Mo free) [Nouveau] # CDFS
    # E:\ # Disque amovible # 245,71 Mo (229,11 Mo free) [KINGSTON] # FAT
    # F:\ # Disque amovible # 3,73 Go (1,13 Go free) # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    ################## | C:\Documents and Settings\Delbauche\Temporary Internet Files |

    ################## | All Drives ... |

    ################## | Autres ... |

    ################## | Registre # Clés Run infectieuses |

    Supprimé ! HKCU\Software\Local AppWizard-Generated Applications\PhLeAutoRun
    Supprimé ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
    Supprimé ! HKLM\SYSTEM\ControlSet004\Services\AVPsys
    # HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{897baec0-1e1b-11de-bb08-00c09f194bf9}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{af8e5cd0-4fab-11de-bb39-00c09f194bf9}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{f6736b40-3253-11de-bb1a-00c09f194bf9}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [22/02/2000 13:21|--a------|7] - C:\FR.ID
    [15/12/2008 21:40|---hs----|512] - C:\BOOTSECT.DOS
    [?|?|?] - C:\pagefile.sys
    [12/07/2009 20:23|--a------|2770] - C:\FindyKill.txt
    [12/07/2009 12:48|--a------|6294] - C:\FindyKill_1.txt
    [16/12/2008 00:18|-rahs----|252240] - C:\ntldr
    [28/08/2001 12:00|-rahs----|4952] - C:\Bootfont.bin
    [16/12/2008 00:18|-rahs----|47564] - C:\NTDETECT.COM
    [16/12/2008 00:33|-rahs----|216] - C:\boot.ini
    [15/12/2008 22:00|--a------|0] - C:\CONFIG.SYS
    [15/12/2008 22:00|--a------|0] - C:\AUTOEXEC.BAT
    [15/12/2008 22:00|-rahs----|0] - C:\IO.SYS
    [15/12/2008 22:00|-rahs----|0] - C:\MSDOS.SYS
    [?|?|?] - C:\hiberfil.sys
    [18/12/2008 22:00|--a------|200] - C:\sqmnoopt00.sqm
    [18/12/2008 22:00|--a------|236] - C:\sqmdata00.sqm
    [11/01/2009 18:53|--a------|200] - C:\sqmnoopt01.sqm
    [11/01/2009 18:53|--a------|200] - C:\sqmdata01.sqm
    [25/01/2009 14:40|--a------|200] - C:\sqmnoopt02.sqm
    [25/01/2009 14:40|--a------|200] - C:\sqmdata02.sqm
    [16/02/2009 14:03|--a------|200] - C:\sqmnoopt03.sqm
    [16/02/2009 14:03|--a------|200] - C:\sqmdata03.sqm
    [21/02/2009 15:43|--a------|200] - C:\sqmnoopt04.sqm
    [21/02/2009 15:43|--a------|200] - C:\sqmdata04.sqm
    [22/02/2009 13:15|--a------|200] - C:\sqmnoopt05.sqm
    [22/02/2009 13:15|--a------|200] - C:\sqmdata05.sqm
    [01/03/2009 14:27|--a------|200] - C:\sqmnoopt06.sqm
    [01/03/2009 14:27|--a------|200] - C:\sqmdata06.sqm
    [31/03/2009 17:40|-r-------|366777396] - D:\House.S05E19.avi
    [07/04/2009 23:26|-r-------|369721300] - D:\House.S05E20.avi
    [14/04/2009 23:47|-r-------|367009792] - D:\House.S05E21.avi
    [12/04/2009 15:31|-r-------|366768128] - D:\Lie.to.Me.S01E06.avi
    [12/04/2009 15:33|-r-------|366778368] - D:\Lie.to.Me.S01E07.avi
    [12/04/2009 15:26|-r-------|367009792] - D:\Lie.to.Me.S01E08.avi
    [12/04/2009 14:31|-r-------|367005696] - D:\Lie.to.Me.S01E09.avi
    [02/04/2009 10:00|-r-------|367609106] - D:\Lost.S05E11.avi
    [09/04/2009 21:07|-r-------|367003648] - D:\Lost.S05E12.avi
    [16/04/2009 10:26|-r-------|367246942] - D:\Lost.S05E13.avi
    [31/03/2009 23:07|-r-------|182874380] - D:\The.Big.Bang.Theory.S02E19.avi
    [14/04/2009 23:26|-r-------|183504896] - D:\The.Big.Bang.Theory.S02E20.avi
    [14/04/2009 23:27|-r-------|182791206] - D:\Two.And.A.Half.Men.S06E20.avi
    [31/03/2009 17:05|-r-------|183640714] - D:\Two.and.a.Half.Men.S06E19.avi
    [07/05/2009 12:30|--a------|1998936] - E:\BARBARA-ANA-DESIGNS_Frogscornu-FR-BAN067.pdf
    [07/05/2009 12:31|--a------|2133432] - E:\BARBARA-ANA-DESIGNS_Valentines-Biscornu BAN052.pdf
    [07/05/2009 12:31|--a------|1044139] - E:\BARBARA-ANA-DESIGNS_Black-sheep-biscornu BAN063.pdf
    [07/05/2009 12:32|--a------|284288] - E:\partie3_SAL.pdf
    [12/07/2009 11:51|--a------|401720] - F:\HiJackThis.exe
    [24/06/2009 11:45|--a------|61535006] - F:\Rapport Stage.zip
    [26/05/2009 14:32|--a------|727718902] - F:\Prison.Break.S04E23-E24.avi
    [12/07/2009 11:52|--a------|3561744] - F:\mbam-setup.exe
    [12/07/2009 19:42|--a------|1620] - F:\BOOTEX.LOG
    [12/07/2009 11:54|--a------|6582] - F:\hijackthis.log
    [12/07/2009 12:04|--a------|6582] - F:\hijackthis_12juillet.txt
    [12/07/2009 12:29|--a------|1458062] - F:\FindyKill.exe
    [12/07/2009 12:48|--a------|6294] - F:\FindyKill_1.txt
    [11/02/2009 12:52|--a------|26272996] - F:\webacappella3.0.84.exe
    [08/02/2009 21:45|--a------|176128] - F:\WEB_ACAPELLA 3.0.84_Crk.exe
    [17/05/2009 21:01|--a------|389081744] - F:\Lie.to.Me.S01E13.avi
    [26/06/2009 13:57|--a------|75776] - F:\FNO - Charte de protection de l'enfance - d‚finitif 0907.doc
    [26/06/2009 14:06|--a------|74899689] - F:\Michael_Jackson_-_Number_Ones_(2003).zip
    [26/06/2009 14:26|--a------|71238963] - F:\Best_Of_Michael_Jackson.zip

    ################## | Vaccination |

    # C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
    # E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
    # F:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

    ################## | Etat / Services / Informations |

    # Mode sans echec : OK

    # Affichage des fichiers cachés : OK

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
    # Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
    # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
    # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
    # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

    ################## | PEH ... |

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # FindyKill V6.005 ! |
    0
  8. saperlipopette
     
    re,

    Les suppressions / vaccinations ont été faites correctement !
    * Ce type d'infection "par support USB", placent des fichiers autorun.inf sur les disques dur et supports USB.
    * Après la désinfection, l'étape de vaccination place des répertoires autorun.inf aux mêmes endroits, pour protéger de l'ajout de fichiers(identique) par ce genre d'infection.

    >>>>>>> Si vous pourriez relancer HijackThis, produire un autre rapport et le postez.
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok fais kaspersky en ligne et colle le rapport
    0
  10. Ingrid29200
     
    Je voulais vous remercier car mon ordinateur n'est plus vérolé, tout est impec!
    Merci pour votre aide.
    0