Pbl de Rootkit

Question

Bonjour,
je cherche a me debarasser d'un rootkit de nom : Win32Podnuha-Q [Rtk] 
J'ai testé Gmer mais aucune lignes rouge n'apparait lors de l'analyse....:(
j'ai meme desinstallé tout les logiciels (3seulement) que j'avais installé juste avant l'apparition de cet intru
mais en vain, le malveillant subsitse....
le nom du fichier infecté donné par avast est : C:\windows\system32\xirleum.dll\[UPX]
je ne suis pas trop calé en informatique alors si quelqu'un peut m'aider ce serait cool
Merci bcp

Cosmi10 · Accepted Answer

Téléchargez combofix.exe (de sUBs) sur le bureau :

Important - Désactivez votre Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp

==> Fermez toutes les fenêtres actives, 
il peut y avoir un redémarrage du PC. 
Ne lancez aucun programme tant que Combofix n’est pas fini. <==

* Double-cliquez sur combofix.exe, cliquez sur OUI et validez par Entrée

* Il vous sera demandé d’installer la console si elle n’est pas installer, cliquez sur OUI

* Patientez ..

* Le rapport apparaitra, affichez ce rapport dans votre prochaine réponse - C:\ Combofix.txt.

olivier114 · Answer

bonjour,
tout d'abord merci de desactiver avast pour continuer la desinfection.
ensuite je vous prie de télécharger ceci:
https://www.commentcamarche.net/telecharger/securite/4273-avg-anti-rootkit/
puis de lancer une analyse complete puis de poster le rapport.
petite précision vous pouvez reinstallez vos logiciel que vous avait desinstallé le rootkit ne doit pas provenir de la.
cordialement
olivier114

Aghnar · Answer

Salut Olivier et merci pour ton aide,

J'ai fais comme tu m'a dit : désactivé avast et téléchargé AVG anti rootkit
le résultat du scan me dit qu'il n y a pas de rootkit....je ne comprend pas

Parce que a chaque fois que j'allume mon pc quand je clic sur poste de travail ou autre, Avast me signale un fichier malveillant de type rootkit 

Juste avant la venu de cet indesirable j'hebergais un Trojan, que Spyware doctor a anéanti. et un ou deux jours apres le bougre est arrivé. Je ne sais pas si il peut y avoir un rapport entre les 2.

Je vais ressayer un scan avec Gmer ou un autre pour t'envoyer l'analyse.
merci et bonne soirée a+

Aghnar · Answer

Salut Olivier voila l'analyse obtenu avec Gmer :


GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-25 01:46:01
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\agtdrpog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwClose [0xA67806B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwCreateKey [0xA6780574]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwDeleteValueKey [0xA6780A52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwDuplicateObject [0xA678014C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwOpenKey [0xA678064E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwOpenProcess [0xA678008C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwOpenThread [0xA67800F0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwQueryValueKey [0xA678076E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwRestoreKey [0xA678072E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)                                                                                                        ZwSetValueKey [0xA67808AE]

---- Kernel code sections - GMER 1.0.15 ----

PAGE            ntkrnlpa.exe!ObReferenceObjectByHandle + 44F                                                                                                                                                 805BA2A9 7 Bytes  JMP 8A70C8F8 

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\services.exe[1080] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]                                                                                00370002
IAT             C:\WINDOWS\system32\services.exe[1080] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]                                                                                      00370000

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                                                                       aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                                                                     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                                                                    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                                                                  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\Core\1.0\config.txt                            1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\Meta\1.0\config.txt                            1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\Movies\1.0\config.txt                          1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\EnglishAudio\1.0\config.txt                    1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\Lang-french\1.0\config.txt                     1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\CNC3EP1_french_1.0.SkuDef                      1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\RetailExe\1.0\Data\Cursors\SCCTelestrator.ani  1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\RetailExe\1.0\config.txt                       1

---- EOF - GMER 1.0.15 ----

Aghnar · Answer

Et une analyse Hijack peut etre ca peut servir

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:51:58, on 25/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\lxdxcoms.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\System32\alg.exe
C:\documents and settingsobtronik\local settings\application data\dtjywfur.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\MIXVIBES\U46DJ\u46pan.exe
C:\Program Files\ESI\U46DJ\U46Pan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Robtronik\Bureau\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: (no name) - {025AF3A7-AAC8-4FCC-AE88-48AE92097985} - C:\WINDOWS\system32\lgysiwon.dll
O2 - BHO: (no name) - {034C953C-0D00-46E1-B4D1-C37BC00B4AE1} - C:\WINDOWS\system32\lgysiwon.dll
O2 - BHO: (no name) - {04B5E74E-AAC8-4FCC-AE88-48AE92097985} - C:\WINDOWS\system32\lgysiwon.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar	oolband.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {240D14D9-8F52-455A-9FCD-AB5189136788} - c:\windows\system32\apkaapk.dll
O2 - BHO: Explorer Helper - {626482AF-17D0-5DFC-C12D-32A58E631863} - C:\WINDOWS\system\btlmct32.dll (file missing)
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Program Files\Dealio\kb127\Dealio.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: (no name) - {EC65077B-CEA0-428F-A817-44E40E995549} - c:\windows\system32\xirleuwm.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb127\Dealio.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar	oolband.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [au] C:\Program Files\Dealio\DealioAU.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [lxdxmon.exe] "C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"
O4 - HKLM\..\Run: [lxdxamon] "C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [dtjywfur] "c:\documents and settingsobtronik\local settings\application data\dtjywfur.exe" dtjywfur
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: U46MK2 Control Panel.lnk = C:\Program Files\MIXVIBES\U46DJ\u46pan.exe
O4 - Startup: U46Pan.lnk = C:\Program Files\ESI\U46DJ\U46Pan.exe
O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\Robtronik\Application Data\Dealio\kb127es\DealioSearch.html
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: vswpmfdh - C:\WINDOWS\SYSTEM32\apkaapk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxdx_device -   - C:\WINDOWS\system32\lxdxcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

Cosmi10 · Answer

bonjours,

***********************  Toolbad S&D ****************************

* Téléchargez sur votre bureau ToolBar-S&D

* Double-cliquez sur ToolBarSD afin de lancer l'installation 

* Une fois installé, un raccourci sera ajouté sur le Bureau. Double-cliquez dessus pour démarrer l'outil 

* Choisissez maintenant votre langue
 
* Tapez 2 puis sur la touche Entrée afin de lancer la Suppression

* Affichez le rapport C:\fixnavi.txt dans votre prochaine réponse

***********************  Navilog1 ****************************

* Téléchargez sur votre bureau  Navilog1 (D'il mafioso)

* Double cliquez sur l'icône Navilog1 présente sur le bureau.

* Sélectionnez la langue désirée, ici on tape 1 pour le français. Validez par Entrée.

* Aux messages d'avertissement, appuyez sur une touche pour continuer.

* Choisissez 1 pour lancer une "Recherche/Désinfection automatique" de fichiers et dossiers infectieux et appuyez sur une touche.

* La recherche va se lancer automatiquement et peut durer plusieurs minutes, patientez.

*L'analyse est terminée ! Fermez et enregistrez votre travail en cours et appuyez sur une touche pour que l'ordinateur puisse redémarré.

*Au redémarrage de l'ordinateur, Navilog va supprimé ce qu'il a trouvé. Patientez quelques instants.

* Le rapport cleannavi.txt s'ouvre, affichez le dans votre prochaine réponse.

***********************  Hijackthis ****************************

* Ouvrez par double-clique Hijackthis, appuyer sur "Do a system scan only", 
* Cochez les ligne suivantes :

O2 - BHO: (no name) - {025AF3A7-AAC8-4FCC-AE88-48AE92097985} - C:\WINDOWS\system32\lgysiwon.dll
O2 - BHO: (no name) - {034C953C-0D00-46E1-B4D1-C37BC00B4AE1} - C:\WINDOWS\system32\lgysiwon.dll
O2 - BHO: (no name) - {04B5E74E-AAC8-4FCC-AE88-48AE92097985} - C:\WINDOWS\system32\lgysiwon.dll 
O2 - BHO: (no name) - {EC65077B-CEA0-428F-A817-44E40E995549} - c:\windows\system32\xirleuwm.dll 

* Appuyer sur "Fix Checked", une fenêtre de confirmation apparaitra, cliquer sur Oui
* Redémarrer l'ordinateur.

*********** Suppression des fichiers cochés avec  Hijackthis ************

* Afficher les fichiers et les dossiers cachés de Windows 

*Supprimer ces fichiers :
C:\WINDOWS\system32\lgysiwon.dll 
c:\windows\system32\xirleuwm.dll 

*********** Nettoyage des fichiers temporaire avec CCleaner  ***********

* Télécharger - Installer CCleaner

* Durant l'installation décocher "mises à jours automatique"

* Cliquer sur Option et Avancé et Décochez : "Effacer .. les fichiers tempor.. de + de 48hre",

* Sélectionner Nettoyeur et cliquez sur Windows et aller à la section Avancé

* Cocher uniquement la première case : "Vieilles données du perfetch"

* Cliquer sur le bouton Analyse..

* Lorsque complété, cliquer sur Nettoyage à quelques occasions..


Ensuite re-paramétrer CCleaner avec les options d'utilisation courantes.
* Recocher  les Options  Avancé : "Effacer .. les fichiers temporaires de + de 48hre",
* Dans Nettoyeur et Windows, Décocher  : "Vieilles données du perfetch"  

*********** Recherche d'autre infection avec Malwarebyte's  ***********

* Téléchargez - Installez  Malwarebyte's

* Laissez-vous guider par l'assistant : choix de la langue, acceptation de la licence, dossier par défaut ...

* Cocher la case "Créer une icône sur le Bureau".

* Cochez bien la case Mettre à jour

* Cliquez ensuite sur Terminer.

Utilisation

* Double-cliquez sur le raccourci créé sur votre bureau

* Dans l'onglet Recherche, cliquez sur Exécuter un examen complet puis sur Rechercher.
* Sélectionnez votre ou vos disques durs.

* Cliquez ensuite sur Lancer l'examen.

* L'examen terminé choisissez d'enregistrer le rapport
* Affichez le rapport de Malwarebyte's dans votre prochaine réponse.

************* Nettoyage du registre avec CCleaner ****************

* Ouvrez CCleaner et appuyer sur Registre.

***********************  Hijackthis ****************************

* Ouvrez Hijackthis, appuyer sur [Do a system scan safe a Logfile]

* Un rapport va s'ouvrir, affichez ce rapport dans votre prochaine réponse.

Aghnar · Answer

Salut Cosmi10,
Voila j'ai suivi l'operation, voila le resultat.
J'ai eu l'impression que des fichiers ont ete supprimé  
je vais de ce pas redemarrer l'ordi voir si le pbl est reglé :)
Merci bcp pour ton aide A+

 -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.60GHz )
   BIOS : BIOS Date: 07/05/06 04:58:08 Ver: 08.00.12
   USER : Robtronik ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1351 [VPS 090923-0] 4.8.1351 (Not Activated)
   C:\ (Local Disk) - NTFS - Total:127 Go (Free:71 Go)
   D:\ (Local Disk) - NTFS - Total:105 Go (Free:91 Go)
   E:\ (CD or DVD) - UDF - Total:7 Go (Free:0 Go)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 25/09/2009|13:35 )
   C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
   C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\mct1E1.tmp
   C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\mcy21A.tmp
   C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\nsj19A.tmp

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\Crawler\Download
   Supprime! - C:\Program Files\Crawler\Toolbar
   Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Crawler Toolbar
   Supprime! - C:\DOCUME~1\ROBTRO~1\APPLIC~1\Dealio\kb127
   Supprime! - C:\Program Files\Dealio\DealioAU.exe
   Supprime! - C:\Program Files\Dealio\kb127
   Supprime! - C:\Program Files\Dealio\SearchSettingsKit.exe
   Supprime! - C:\WINDOWS\Prefetch\DEALIOAU.EXE-32C4A05D.pf
   Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Dealio
   Supprime! - C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
   Supprime! - C:\DOCUME~1\ROBTRO~1\APPLIC~1\Search Settings\kb127
   Supprime! - C:\Program Files\Search Settings\kb127
   Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
   Supprime! - C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
   Supprime! - C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\mct1E1.tmp
   Supprime! - C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\mcy21A.tmp
   Supprime! - C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\nsj19A.tmp
   Supprime! - C:\Program Files\Crawler
   Supprime! - C:\DOCUME~1\ROBTRO~1\APPLIC~1\Dealio
   Supprime! - C:\Program Files\Dealio
   Supprime! - C:\DOCUME~1\ROBTRO~1\APPLIC~1\Search Settings
   Supprime! - C:\Program Files\Search Settings

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Robtronik) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (Robtronik) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
   (Robtronik) - {6dd49e04-4402-4629-915a-00349a297074} => xulcache


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="http://runonce.msn.com/?v=msgrv75"
   "Search Page"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC"
   "Search Bar"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

 
   C:\DOCUME~1\ROBTRO~1\LOCALS~1\APPLIC~1\dtjywfur.dat
   C:\DOCUME~1\ROBTRO~1\LOCALS~1\APPLIC~1\dtjywfur.exe
   C:\DOCUME~1\ROBTRO~1\LOCALS~1\APPLIC~1\dtjywfur_nav.dat
   C:\DOCUME~1\ROBTRO~1\LOCALS~1\APPLIC~1\dtjywfur_navps.dat
   [b]==> EGDACCESS <==/b

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
   C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\Steinberg CUBASE sx3 oxigen Fruity Loops V.6 Tracktor Full Plugins et Crack [TOUT EN FRA] fr By Rageback.rar
   C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\ADOBE AUDITION\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
   C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\SOUNDFORGE\sf7\keygen.exe
   C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\VST 0000\VST PLUGS\VST plugs Warm tube simulateur\KeyGen.exe
   C:\DOCUME~1\ROBTRO~1\Bureau\Plugin\son batterie\kit batterie\S-115 Crack.wav
   C:\DOCUME~1\ROBTRO~1\Bureau\sample\drum\kick\kick crack.wav
   C:\DOCUME~1\ROBTRO~1\Bureau\sample\drum\snar\crack sn.wav
   C:\DOCUME~1\ROBTRO~1\Bureau\sample\drum\snar\crack.wav
   C:\DOCUME~1\ROBTRO~1\Bureau\sample\drum\snar\cracking sn.wav
   C:\DOCUME~1\ROBTRO~1\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
   C:\DOCUME~1\ROBTRO~1\Local Settings\Temp\R‚pertoire temporaire 2 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
   C:\DOCUME~1\ROBTRO~1\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip\AGAiN keygen.exe
   C:\DOCUME~1\ROBTRO~1\Local Settings\Temp\R‚pertoire temporaire 2 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip\AGAiN keygen.exe
   C:\DOCUME~1\ROBTRO~1\Mes documents\Shareaza Downloads\flstudio vst.Crack.All.Version.zip
   C:\DOCUME~1\ROBTRO~1\Recent\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).lnk



   1 - "C:\ToolBar SD\TB_1.txt" - 25/09/2009|13:37 - Option : [2]

   -----------\  Fin du rapport a 13:37:19,35

Aghnar · Answer

Voila le resultat avec navilog
J'ai observé au redemarrage de la machine quand navilog lance la supression des fichiers :il y avait écrit
-"un fichier impossible a supprimer car il est utilisé par un autre processus"
-"acces refusé"
Merci pour votre aide efficace


Fix Navipromo version 4.0.2 commencé le 25/09/2009 13:56:40,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.60GHz )
BIOS : BIOS Date: 07/05/06 04:58:08 Ver: 08.00.12
USER : Robtronik ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1351 [VPS 090923-0] 4.8.1351 (Not Activated)


C:\ (Local Disk) - NTFS - Total:127 Go (Free:71 Go)
D:\ (Local Disk) - NTFS - Total:105 Go (Free:91 Go)
E:\ (CD or DVD) - UDF - Total:7 Go (Free:0 Go)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\WINDOWS\prefetch\dtjywfur*.pf supprimé !
c:\docume~1obtro~1\locals~1\applic~1\dtjywfur.exe supprimé !
c:\docume~1obtro~1\locals~1\applic~1\dtjywfur.dat supprimé !
c:\docume~1obtro~1\locals~1\applic~1\dtjywfur_nav.dat supprimé !
c:\docume~1obtro~1\locals~1\applic~1\dtjywfur_navps.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Robtronik\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Cosmi10 · Answer

* Continuer avec les autre procédures.


Vouz devez supprimer tout ces fichiers très risqués (crack).

C:\Documents and Settings\ROBTRO~1\Bureau\Nouveau dossier1\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

C:\Documents and Settings\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\Steinberg CUBASE sx3 oxigen Fruity Loops V.6 Tracktor Full Plugins et Crack [TOUT EN FRA] fr By Rageback.rar

C:\Documents and Settings\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\ADOBE AUDITION\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

C:\Documents and Settings\ROBTRO........\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\SOUNDFORGE\sf7\keygen.exe

C:\Documents and Settings\ROBTRO........\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\VST 0000\VST PLUGS\VST plugs Warm tube simulateur\KeyGen.exe

C:\Documents and Settings\ROBTRO........\Bureau\Plugin\son batterie\kit batterie\S-115 Crack.wav

C:\Documents and Settings\ROBTRO........\Bureau\sample\drum\kick\kick crack.wav
C:\Documents and Settings\ROBTRO........\Bureau\sample\drum\snar\crack sn.wav
C:\Documents and Settings\ROBTRO........\Bureau\sample\drum\snar\crack.wav
C:\Documents and Settings\ROBTRO........\Bureau\sample\drum\snar\cracking sn.wav

C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 2 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip\AGAiN keygen.exe

C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 2 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip\AGAiN keygen.exe

C:\Documents and Settings\ROBTRO........\Mes documents\Shareaza Downloads\flstudio vst.Crack.All.Version.zip

C:\Documents and Settings\ROBTRO........\Recent\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).lnk



* Cracks, P2P; quels sont les risques...

Aghnar · Answer

Salut Cosmi 10,
Merci pour ta super explication bien détaillée 

J'ai un petit probleme dans la 3e etape avec les fichiers :
C:\WINDOWS\system32\lgysiwon.dll
c:\windows\system32\xirleuwm.dll 

je ne parviens pas a les supprimer 
la machine m'indique : 
"Erreur suppression  Verifier que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas 
utilisé actuellement" 

Je ne sais pas si je peux continuer les autres étapes en sautant celle là 
J'attend ta réponse pour continuer :]
Merci et bonne soirée 
Pace e Salute

Cosmi10 · Answer

Essayer de les supprimer en mode sans échec et/ou continuer avec les autre étapes.

Aghnar · Answer

Resalut et encore une petite chose,

*j'ai un petit problème pour retrouver un fichier très risqué.
*En fait les fichiers hébergeurs : \Local Settings\  et   \Recent\   sont introuvable.        (pour moi)

C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
C:\Documents and Settings\ROBTRO........\Recent\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).lnk   

*On dirait qu'ils ont disparu......ou ils se sont peut etre caché.... :)

*Ce meme fichier dangeureux est repertorié plusieurs fois a des endroits différents
*et "Byzzarerrie"  a un endroit je l'ai trouvé et supprimé sans problème    

C:\Documents and Settings\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\ADOBE AUDITION\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip             

*Car le fichier \Bureau\ est bien présent, lui
Merci beaucoup

Cosmi10 · Answer

Après avoir lancé CCleaner, tout les fichiers dans les répertoires ..\Temp\.. sont effacés !

IMPORTANT - Si vous avez lancé un scan avec Malwarebytes, affichez le rapport qui qui est dans "Rapports/Logs".

Aghnar · Answer

MODE SANS ECHEC
Méthode avec l'utilitaire de configuration système

/!\ Avertissement
Ne surtout pas appliquer cette méthode si votre PC est infecté ! Et quel quoi soit le type d'infection .
En effet, vous pouvez rester coincé(e) dans une boucle infernale en procédant de la sorte ( redémarrage en boucle du PC ).

A utiliser avec une extrême précaution ! 

C'est pas dangeureux???   Ca fait un peu peur

Aghnar · Answer

***********près avoir lancé CCleaner, tout les fichiers dans les répertoires ..\Temp\.. sont effacés !

IMPORTANT - Si vous avez lancé un scan avec Malwarebytes, affichez le rapport qui qui est dans "Rapports/Logs".*******************************

Je n'ai pas encore fait ces étapes je les fait tout de suite

Cosmi10 · Answer

Si vous avez modifier msconfig pour redémarrer en mode sans échec, remettez cette option comme elle était avant de la modifier. - Décocher /SafeBoot

Faites comme cela pour en redémarrer mode sans échec

Aghnar · Answer

Ok merci Cosmi je m'en occupe apres manger la j'ai le scan avec malwarebytes il m'a trouvé 20 infections
voila le resultat
Bonne appetit

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2859
Windows 5.1.2600 Service Pack 2

25/09/2009 21:17:48
mbam-log-2009-09-25 (21-17-48).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 189845
Temps écoulé: 29 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\lgysiwon.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{025af3a7-aac8-4fcc-ae88-48ae92097985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{025af3a7-aac8-4fcc-ae88-48ae92097985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ec65077b-cea0-428f-a817-44e40e995549} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{ec65077b-cea0-428f-a817-44e40e995549} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{025af3a7-aac8-4fcc-ae88-48ae92097985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{73364d99-1240-4dff-b12a-67e448373148} (Trojan.Bzub) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ec65077b-cea0-428f-a817-44e40e995549} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\lgysiwon.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\xirleuwm.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Documents and Settings\Robtronik\Bureau\backups\backup-20090925-162730-316.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Robtronik\Bureau\backups\backup-20090925-162730-350.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Robtronik\Bureau\backups\backup-20090925-162730-432.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Robtronik\Bureau\backups\backup-20090925-162730-649.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{55F1753D-C67F-4B1D-A9FB-64BD9188DE2D}\RP5\A0000262.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Aghnar · Answer

voila le resultat de combofix

ComboFix 09-09-25.01 - Robtronik 25/09/2009 22:05.1.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.2047.1490 [GMT 2:00]
Lancé depuis: c:\documents and settings\Robtronik\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1351 [VPS 090925-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Robtronik\ResErrors.log
c:\windows\1809.exe
c:\windows\system32\apkaapk.dll
c:\windows\system32\drivers\dizqykoy.sys
c:\windows\system32\drivers\iixotcgw.sys
c:\windows\system32\drivers\ucihavns.sys
c:\windows\system32\lgysiwon.dll
c:\windows\system32\pnqjmao.dll
c:\windows\system32\xirleuwm.dll
c:\windows\update7.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DPZQUMGW
-------\Legacy_IIXOTCGW
-------\Service_dpzqumgw
-------\Service_iixotcgw


(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-25 au 2009-09-25  ))))))))))))))))))))))))))))))))))))
.

2009-09-25 17:00 . 2009-09-25 17:00	--------	d-----w-	c:\documents and settings\Robtronik\Application Data\Malwarebytes
2009-09-25 17:00 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-25 17:00 . 2009-09-25 17:00	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-09-25 17:00 . 2009-09-25 17:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-25 17:00 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-09-25 16:48 . 2009-09-25 16:48	--------	d-----w-	c:\program files\CCleaner
2009-09-25 11:51 . 2009-09-25 12:06	--------	d-----w-	c:\program files\Navilog1
2009-09-25 11:33 . 2009-09-25 11:37	--------	d-----w-	C:\ToolBar SD
2009-09-24 16:01 . 2007-01-18 12:00	3968	----a-w-	c:\windows\system32\drivers\AvgArCln.sys
2009-09-23 12:47 . 2009-09-23 12:47	--------	d-----w-	c:\documents and settings\NetworkService\Application Data\iwcfmany
2009-09-23 12:47 . 2009-09-23 12:47	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\iwcfmany
2009-09-20 11:53 . 2009-09-20 11:53	--------	d-----w-	c:\documents and settings\All Users\Application Data\Windows Live Toolbar
2009-09-20 11:53 . 2009-09-20 11:53	--------	d-----w-	c:\program files\Windows Live Toolbar
2009-09-19 13:47 . 2009-09-25 15:13	--------	d-----w-	C:\Downloads
2009-09-19 13:01 . 2009-09-23 17:57	--------	d-----w-	c:\program files\RogueRemover FREE

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-23 18:20 . 2008-11-16 13:13	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2009-09-23 09:04 . 2008-11-16 13:13	--------	d-----w-	c:\program files\Spyware Doctor
2009-08-17 16:10 . 2009-05-10 00:02	1279456	----a-w-	c:\windows\system32\aswBoot.exe
2009-08-17 16:06 . 2009-05-10 00:02	93392	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-08-17 16:06 . 2009-05-10 00:02	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2009-08-17 16:05 . 2009-05-10 00:02	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-08-17 16:05 . 2009-05-10 00:02	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-08-17 16:04 . 2009-05-10 00:02	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-08-17 16:04 . 2009-05-10 00:02	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-08-17 16:03 . 2009-05-10 00:02	26944	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2009-08-17 16:02 . 2009-05-10 00:02	97480	----a-w-	c:\windows\system32\AvastSS.scr
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2008-09-28 3497208]
"Creative Detector"="c:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-02-06 3325952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="c:\windows\System32\JMRaidTool.exe" [2006-06-02 385024]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-05 61440]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2006-10-07 185784]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-09 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-09 86016]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"lxdxmon.exe"="c:\program files\Lexmark 3600-4600 Series\lxdxmon.exe" [2008-06-13 668328]
"lxdxamon"="c:\program files\Lexmark 3600-4600 Series\lxdxamon.exe" [2008-06-13 16040]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2008-06-13 320168]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32
wiz.exe [2008-05-09 1630208]
"CTHelper"="CTHELPER.EXE" - c:\windows\CTHELPER.EXE [2005-08-07 16384]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\CTXFIHLP.EXE [2005-08-07 18944]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Robtronik\Menu D‚marrer\Programmes\D‚marrage\
U46MK2 Control Panel.lnk - c:\program files\MIXVIBES\U46DJ\u46pan.exe [2007-11-21 397312]
U46Pan.lnk - c:\program files\ESI\U46DJ\U46Pan.exe [2007-11-27 462848]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Barre d'‚tat systŠme d'ATI CATALYST.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-8-6 61440]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe"=
"c:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\WINDOWS\system32\lxdxcoms.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\frun.exe"=
"c:\Program Files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe"=
"c:\Program Files\Lexmark Fax Solutions\FaxCtr.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"=
"c:\Program Files\Electronic Arts\EADM\Core.exe"=
"c:\Program Files\Electronic Arts\Command & Conquer(tm) 3  La Fureur de Kane\RetailExe\1.2\cnc3ep1.dat"=
"c:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"=

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06/10/2006 19:09 10240]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [10/05/2009 02:02 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/05/2009 02:02 20560]
R2 lxdx_device;lxdx_device;c:\windows\system32\lxdxcoms.exe -service --> c:\windows\system32\lxdxcoms.exe -service [?]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [05/10/2006 18:10 176128]
S3 gsplittm;gsplittm;\??\c:\docume~1\ROBTRO~1\LOCALS~1\Temp\gsplittm.sys --> c:\docume~1\ROBTRO~1\LOCALS~1\Temp\gsplittm.sys [?]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [16/11/2008 15:13 356920]
S3 U46_01;Service for ESI U46MK2 Audio driver;c:\windows\system32\drivers\u46Wdm.sys [21/11/2007 23:51 20128]
S3 U46_AA;Service for MIXVIBES U46MK2 Controller driver;c:\windows\system32\drivers\u46drv.sys [21/11/2007 23:51 26752]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - IIXOTCGW
*Deregistered* - iixotcgw
.
Contenu du dossier 'Tâches planifiées'

2009-09-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-09-25 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 15:39]
.
.
------- Examen supplémentaire -------
.
mWindow Title = 
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
FF - ProfilePath - c:\documents and settings\Robtronik\Application Data\Mozilla\Firefox\Profiles\w52q9ot1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-veoh&p=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-veoh&p=
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer
pWebPlayerVideoPluginATL.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{025AF3A7-AAC8-4FCC-AE88-48AE92097985} - c:\windows\system32\lgysiwon.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-25 22:18
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1547161642-1979792683-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:9a,c5,c8,25,cc,cd,0a,de,8a,d9,94,79,ba,ac,de,43,24,11,5e,1c,5b,15,de,
   de,eb,47,48,4b,d7,e0,8d,f7,fd,a4,d5,3b,af,fc,a7,57,fa,79,e6,56,db,b2,58,78,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

[HKEY_USERS\S-1-5-21-1547161642-1979792683-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:e0,9a,28,91,5b,89,3c,14,e2,df,a3,82,51,4b,33,6a,50,7a,3f,4d,4a,
   bb,c9,30,fa,ed,c0,d3,3a,a3,a2,e7,1e,82,83,0c,4f,45,ac,45,f3,ab,85,12,7a,8e,\
"rkeysecu"=hex:56,c6,0d,e0,20,27,f2,5f,5e,7a,0c,15,6c,01,a7,f3
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1028)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\a-squared Free\a2service.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\CTSVCCDA.EXE
c:\windows\system32\lxdxcoms.exe
c:\windows\system32
vsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32undll32.exe
c:\program files\Lexmark 3600-4600 Series\lxdxmsdmon.exe
.
**************************************************************************
.
Heure de fin: 2009-09-25 22:21 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-09-25 20:21

Avant-CF: 83 192 369 152 octets libres
Après-CF: 83 141 091 328 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

197

Aghnar · Answer

Rebonsoir Cosmi 
Je ne peux pas coché la case "tSafeBoot ", dans l'onglet "boot ini" le panel "options de démarrage" est comme désactivé (la couleur du panel est plus clair) je ne sais pas quoi faire
Encore merci pour ton aide PRECIEUSE

Aghnar · Answer

Ne regarde pas le post d'avant
c'est mon clone qui l'a écrit, il est fou celui la, il a pas bien pris le temps de chercher  :-°

Bon apparament bonne nouvelle l'ennemi a été anéanti,
les nocifs "xirleuwm" et "lgysimon" ont disparu sans que j'utilise le mode sans echec ,peut etre Combofix ou Malware s en sont chargés.
avast ne me signal plus de probleme
et mon pc a nettement augmenté sa vitesse
Felicitation mon général,je pense que  nous avons gagné la bataille

Cosmi10 · Answer

****** Vérification de répertoires suspects avec SystemLook *******

Téléchargez sur le bureau SystemLook.
* Copier / Coller le contenue de la Citation dans la fenêtre et appuyer sur "Look" :
:Dir
c:\documents and settings\NetworkService\Application Data\iwcfmany     
c:\documents and settings\NetworkService\Local Settings\Application Data\iwcfmany  
* Un rapport va s'ouvrir à l'écran, affichez ce rapport dans votre prochain message.


*********************** Tools Cleaner 2 ***********************

Téléchargez sur votre Bureau ToolsCleaner2 (de A.Rothstein et Dj Quiou). 

* Double cliquez sur ToolsCleaner2.exe 

* cliquez sur "Recherche"

* Cliquez sur "Suppression"

* Cliquez sur Quitter,

* Affichez le rapport - C:\TCleaner.txt

* Votre bureau peut disparaitre,

Si le bureau ne réapparaît pas;
Faites Ctrl-Alt-Suppr - Menu "Fichier" - "Nouvelle tâches (Exécuter..)", tapez explorer et validez.

Anonyme · Answer

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 02:25 on 26/09/2009 by Robtronik (Administrator - Elevation successful)

========== Dir ==========

c:\documents and settings\NetworkService\Application Data\iwcfmany - Parameters: "(none)"

---Files---
profiles.ini	--a--- 111 bytes	[12:47 23/09/2009]	[12:47 23/09/2009]

---Folders---
Profiles	d-----	[12:47 23/09/2009]

c:\documents and settings\NetworkService\Local Settings\Application Data\iwcfmany - Parameters: "(none)"

---Files---
None found.

---Folders---
Profiles	d-----	[12:47 23/09/2009]

-=End Of File=-

Cosmi10 · Answer

*************** Supprimer ces 2 répertoires ****************
c:\documents and settings\NetworkService\Application Data\iwcfmany     
c:\documents and settings\NetworkService\Local Settings\Application Data\iwcfmany  


En attente du rapports de *** Tools Cleaner 2 ***

Anonyme · Answer

Pour tools cleaner j'ai oublié d'enregistrr l'analyse
J'ai vu que ça m'a supprimé les logiciels des étapes de desinfection
En tout cas tout cas mon pc se porte bien mieux et j'en ai appris pas mal ;]
merci beaucoup pour tes techniques efficace
salut Cosmi

Cosmi10 · Answer

Le rapport est disponible sur le C:\   <== TCleaner.txt

Anonyme · Answer

*************** Supprimer ces 2 répertoires ****************
c:\documents and settings\NetworkService\Application Data\iwcfmany
c:\documents and settings\NetworkService\Local Settings\Application Data\iwcfmany



Ils se sont cachées comme dans le post d'avant, je n'ai pas le repertoire 
etworkservice\ dans c:\documents and settings     
???

Anonymus · Answer

* Afficher les fichiers et les dossiers cachés <== et supprimer ces répertoires !

* Vous avez bien Décocher /SAFEBOOT dans msconfig.

Anonyme · Answer

Oui les fichiers cachés sont bien affichés
j'ai décoché:   masquer les extensions des fichiers dont le type et connu
                     masquer les fichiers protégés du systeme d'exploitation
et malheureusement rien  
J'ai que 3 fichiers dans le repertoire \documents and settings\

Et je me demande dans "msconfig", onglet "general" je dois cocher démarrage normal ou selectif ???

Et aussi depuis la désinfectation j'ai une alerte de sécurité windows, un petit blason ou bouclier rouge avec une croix blanche en bas a droite dans la barre a coté de l'heure
cela me dit que les mise à jour automatique de windows sont désactivés 
dois je des activés ???? 
je ne crois pas que s'etait activé avant.

Anonyme · Answer

Anonychmux 
Si il n y a pas mon nom y a un pbl

Anonyme · Answer

************** Supprimer ces 2 répertoires ****************
c:\documents and settings\NetworkService\Application Data\iwcfmany
c:\documents and settings\NetworkService\Local Settings\Application Data\iwcfmany

Cool j'ai reussi à les supprimer 
bon allez faut dormir un peu
Bonne nuit ZZZzzzzzzzz°°°°°zzzzzzZZZZZZ°°°°°°°°°°

je comprend pas pourquoi je suis Anonymus il y a du avoir une anomalix

Pbl de Rootkit

30 réponses

Votre réponse

Discussions similaires

Newsletters