rapport hijackthis Résolu/Fermé

Question

Bonjour, 

pouvez vous analiser mon rapport svp , car avira antivir premium me trouve toujours des virus mais j'ai bien l'impression qu'il ne les detruits pas .
voici mon rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:05:45, on 29/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Zvuqaa.exe
C:\DOCUME~1\valery\LOCALS~1\Temp\Zdx.exe
C:\Program Files\ Firefox\firefox.exe
C:\Program Files\ Firefox\plugin-container.exe
C:\Documents and Settings\valery\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.facebook.com/?ref=hp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [XBV6RD5SZF] C:\DOCUME~1\valery\LOCALS~1\Temp\Zdx.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O15 - Trusted Zone: https://applications-et-logiciels.orange.fr/
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {4ECE056F-E50F-4F9D-B069-EB342D21F26A} (Snapfish Activia3) - http://www3.snapfish.fr/SnapfishActivia3.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.bloy.geometre-expert.fr/PARISEXPERT/ParisFTP/mgaxctrl.cab
O16 - DPF: {741747F6-83B4-4FB9-A268-8CA4010762C8} (Snapfish Activia2) - http://www3.snapfish.fr/SnapfishActivia2.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin2.valueactive.eu/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {DAF7E6E6-D53A-439A-B28D-12271406B8A9} (RIM AxLoader) - http://mobileapps.blackberry.com/devicesoftware/AxLoader.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: Roxio UPnP Renderer 9 - Unknown owner - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe (file missing)
O23 - Service: Roxio Upnp Server 9 - Unknown owner - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe (file missing)
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

kalimusic · Answer

Bonjour et Bienvenue sur CCM

Des infections sont visibles sur le rapport.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.


1. Télécharge AD-Remover (C_XX) sur le bureau 

Désactive la protection résidente de ton anti-virus 

* Lance Ad-R 
- Sous XP double-clic sur l'icône pour lancer l'outil.   
* Clique sur "Oui" dans la boite de dialogue 
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui" 
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin. 
* Clique sur Quitter 

Copie/colle le rapport dans ton prochain message.

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


Nous allons utiliser cet outil de diagnostic plus complet que HJT afin de mieux cerner les autres infections. 

2. Télécharge OTL  (de OldTimer) sur ton Bureau.

 Ferme toutes tes applications en cours

    * Lance OTL.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Coche également les cases Recherche LOP et Recherche Purity
    * Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
    * Clique sur le bouton Analyse, patiente pendant le balayage du système.
    * 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches) 
* Ne les poste pas sur le forum, ils seraient trop long 
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.

A +

torftorf · Answer

ok merci beaucoup , des que je rentre du travail j'execute tous cela et post les rapports , encore merci .

kalimusic · Answer

ok,  

le boulot avant tout ;) 

Mais pourquoi avoir mis en résolu ?

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

torftorf · Answer

tres cher kalimusic ,

voici le rapport  AD-Remover :


======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:26:25 le 30/08/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
valery@PC-DE-DOMOTORFY ( ) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 

0,Fichier supprimé: C:\Documents and Settings\valery\Application Data\Mozilla\FireFox\Profiles\jvy9bhry.default\searchplugins\ask.xml
0,Dossier supprimé: C:\Program Files\Application Updater
0,Dossier supprimé: C:\Documents and Settings\valery\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\Documents and Settings\valery\Application Data\DesktopIcon
0,Dossier supprimé: C:\Documents and Settings\valery\Application Data\Search Settings
0,Dossier supprimé: C:\Program Files\Search Settings
3,Fichier supprimé: C:\WINDOWS\Installer\1edf36a.msi 

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
1,Clé supprimée: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
0,Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO
0,Clé supprimée: HKLM\Software\Classes\SearchSettings.BHO.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2567681
0,Clé supprimée: HKLM\Software\Application Updater
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\Search Settings
0,Clé supprimée: HKLM\Software\Titan Poker
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\Search Settings
0,Clé supprimée: HKCU\Software\Titan Poker
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Titan Poker
0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\valery\Application Data\Mozilla\FireFox\Profiles\jvy9bhry.default\Prefs.js --
browser.search.defaultenginename, Google
browser.startup.homepage, hxxp://google.fr
browser.startup.homepage_override.mstone, rv:1.9.1.3
google.toolbar.linkdoctor.backup.keyword.URL, chrome://browser-region/locale/region.properties
keyword.URL, about:neterror?e=query&u=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: YES
Local Page: C:\WINDOWS\system32\blank.htm
SearchAssistant: 
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 27 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/08/2010 (2725 Octet(s)) 

Fin à: 17:30:44, 30/08/2010 
 
============== E.O.F ============== 

et voici ceux de otl :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijit8H5fu.txt 

et

http://www.cijoint.fr/cjlink.php?file=cj201008/cij90yoOga.txt

kalimusic · Answer

torftorf,

Nous devons analyser certains fichiers suspects présents dans le système afin de savoir s'il faut les supprimer. 

1. Rends toi sur le site Virus Total

    * Clique sur la case "Parcourir"
* Une nouvelle fenêtre s'ouvre te permettant de naviguer sur le disque dur
    * Parcoure l'arborescence de ton disque dur dans ce répertoire : C:\Windows\ pour sélectionner ce fichier Zvuqaa.exe 
    * Clique sur le fichier puis sur "Ouvrir" en bas de la fenêtre 
    * Clique maintenant sur le bouton "Send file" 

Si un message te dit que le fichier à déjà été analysé, ré-analyse le

Le fichier est mis en attente puis le scan débute, à la fin de l'analyse copie l'URL et colle la dans ta réponse, cela doit ressembler à ceci : http://www.virustotal.com/fr/analisis/4ad23c3e409a3845815fcc6d0c977fbeb90ba8d1bcdf6d41b22993907a7944aa-1270983527 


Note : Si des fichiers ne sont pas visibles, tu devras modifier ce paramètre afin de pouvoir y accéder 

Dans le Menu Démarrer de la barre des taches

    * Clique sur Rechercher
    * Dans la fenêtre qui s'ouvre, va dans le menu déroulant Outils puis choisit Options des dossiers
    * Dans la boîte de dialogue, Sélectionne l'onglet Affichage
    * Coche Afficher les fichiers et dossiers cachés

Clique maintenant sur le bouton Appliquer puis OK

****
2. Recommence l'opération pour ces autres fichiers :

C:\WINDOWS\regedit.exe.zottel 
C:\WINDOWS\System32\winlogon.exe.zottel 
C:\WINDOWS\System32\msgina.dll.zottel 
C:\WINDOWS\System32\drivers\vnbwhd.sys 

****
3. Change les paramètres d'affichage des fichiers en décochant la case Afficher les fichiers et dossiers cachés, si tu as eu besoin de les modifier.

A +

torftorf · Answer

voici les rapports :

http://www.virustotal.com/file-scan/report.html?id=2b103797d1583e32793811e885c795f3f4ea28e89595e659a7cc98b6cb6ed64e-1283193435

http://www.virustotal.com/file-scan/report.html?id=058dee9b3f6712bbf521b992f56dc9f2aa42e6a56110b74fdbbfca85ebfbad52-1283193529

http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1283194154

http://www.virustotal.com/file-scan/report.html?id=76791c00badc4123189e23d276beecfade568af68660360fd72e2ead15531c66-1283194262

pour C:\WINDOWS\System32\drivers\vnbwhd.sys  il ne trouve rien :)

voila bonne visualisation

kalimusic · Answer

re,

pour C:\WINDOWS\System32\drivers\vnbwhd.sys il ne trouve rien :) C'est à dire ... Tu ne trouves pas le fichier sur le disque ? ou Virus total n'arrive pas à l'analyser ? Quel message as-tu ?

A +

torftorf · Answer

je l'ai bien sur le c: , mais quand je l'ouvre avec  Virus total , il recherche et hop remet à la fenêtre " parcourir "

kalimusic · Answer

Pour l'instant, on fait sans ce fichier, on y reviendra : 

1. Relance OTL 
- Sous XP double-clic sur l'icône pour lancer l'outil.  
    * L'interface principale s'ouvre : 
    * Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

:OTL 
[2010/06/19 09:27:16 | 000,000,000 | ---D | M] (Messenger Plus Live France Toolbar) -- C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}      
[2010/08/17 20:38:47 | 000,000,000 | ---D | M] (Zynga Toolbar) -- C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}      
[2008/09/26 12:26:38 | 000,000,876 | ---- | M] () -- C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles\jvy9bhry.default\searchplugins\conduit.xml  
O4 - HKCU\..\Run: [XBV6RD5SZF] C:\DOCUME~1\valery\LOCALS~1\Temp\Zdx.exe File not found      
O15 - HKCU\..Trusted Domains: orange.fr ([logicielsgratuits] http in Trusted sites)  
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab (System Requirements Lab Class)      
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)    
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)  
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Reg Error: Key error.)  
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)  
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)  
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)  
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} https://signin2.valueactive.eu/Register/Branding/olr3313/OCX/v1018/flashax.cab (FlashXControl Object)      
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} https://plugins.valueactive.eu/flashax/iefax.cab (Flash Casino Helper Control)      
@Alternate Data Stream - 117 bytes -> C:\Documents and Settings\All Users\Application Data\Temp:D74B6CF5 

:Files 
C:\WINDOWS\Zvuqaa.exe  
C:\Documents and Settings\LocalService\Local Settings\Application Data\Messenger_Plus_Live_France   
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job         

:Commands  
[emptyflash] 
[emptytemp]
    * Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.    
    * Accepte en cliquant sur OK  
    * Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément    
    * Copie/colle le dans ton prochain message    

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)  

2. Rends-toi sur le site de  GMER 

Attention lit attentivement les instructions, cet outil est à manier avec précautions 

    * Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire afin que les malwares ne bloquent pas son exécution 
    * Enregistre ce fichier sur le Bureau 

      ! Désactive les logiciels de protection (anti-virus, anti-spyware, etc) et les défenses résidentes !       

 - Sous XP double-clic sur l'icône pour lancer l'outil.   

    *  Si aucun rootkit n'est détecté

     * Clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message. 

     * Si un rootkit est détecté au démarrage du programme, une boite de dialogue s'ouvre :  WARNING, GMER has found rootkit activity, Do you want to fully scan your system ? 
   * Clique sur "YES" 

Une fois le scan terminé clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.  

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

torftorf · Answer

otl >> 

All processes killed
========== OTL ==========
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\searchplugin folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\META-INF folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\lib folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\defaults folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\components folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}\chrome folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{59994074-c06d-4a75-9768-49e5a8c21264} folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\searchplugin folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\META-INF folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\lib folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\defaults folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\components folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}\chrome folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles	tym72ha.valo\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} folder moved successfully.
C:\Documents and Settings\valery\Application Data\Mozilla\Firefox\Profiles\jvy9bhry.default\searchplugins\conduit.xml moved successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\orange.fr\logicielsgratuits\ deleted successfully.
Starting removal of ActiveX control {1E54D648-B804-468d-BC78-4AFFED8E262E}
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1E54D648-B804-468d-BC78-4AFFED8E262E}\DownloadInformation\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1E54D648-B804-468d-BC78-4AFFED8E262E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E54D648-B804-468d-BC78-4AFFED8E262E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1E54D648-B804-468d-BC78-4AFFED8E262E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E54D648-B804-468d-BC78-4AFFED8E262E}\ not found.
Starting removal of ActiveX control {1E54D648-B804-468d-BC78-4AFFED8E262F}
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1E54D648-B804-468d-BC78-4AFFED8E262F}\DownloadInformation\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1E54D648-B804-468d-BC78-4AFFED8E262F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E54D648-B804-468d-BC78-4AFFED8E262F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1E54D648-B804-468d-BC78-4AFFED8E262F}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1E54D648-B804-468d-BC78-4AFFED8E262F}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {D8089245-3211-40F6-819B-9E5E92CD61A2}
C:\WINDOWS\Downloaded Program Files\flashax.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D8089245-3211-40F6-819B-9E5E92CD61A2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D8089245-3211-40F6-819B-9E5E92CD61A2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{D8089245-3211-40F6-819B-9E5E92CD61A2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D8089245-3211-40F6-819B-9E5E92CD61A2}\ not found.
Starting removal of ActiveX control {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}
C:\WINDOWS\Downloaded Program Files\iefax.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65}\ not found.
ADS C:\Documents and Settings\All Users\Application Data\Temp:D74B6CF5 deleted successfully.
========== FILES ==========
C:\WINDOWS\Zvuqaa.exe moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Application Data\Messenger_Plus_Live_France\Logs folder moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Application Data\Messenger_Plus_Live_France folder moved successfully.
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job moved successfully.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Administrateur
->Flash cache emptied: 434 bytes
 
User: All Users
 
User: angel
 
User: Default User
 
User: LocalService
->Flash cache emptied: 2301 bytes
 
User: NetworkService
->Flash cache emptied: 4507 bytes
 
User: valery
->Flash cache emptied: 1927910 bytes
 
Total Flash Files Cleaned = 2,00 mb
 
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 774183 bytes
->Java cache emptied: 11943841 bytes
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: angel
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 11943841 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 11943841 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 498563 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 7802843 bytes
->Flash cache emptied: 0 bytes
 
User: valery
->Temp folder emptied: 51972903 bytes
->Temporary Internet Files folder emptied: 18712138 bytes
->Java cache emptied: 28369 bytes
->FireFox cache emptied: 104324591 bytes
->Google Chrome cache emptied: 6257001 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2148155 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 570743 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 62235478 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 278,00 mb
 
 
OTL by OldTimer - Version 3.2.11.0 log created on 08302010_223808

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

torftorf · Answer

bon avec gmer j'ai un probleme , il me trouve bien quelque chose > " vnbwhd " 

maos si je clic sur yes quand il me demande : "do you want to fully scan your system  , quand je clic yes , mon pc redemarrer direct :) .

sinon j'ai le rapport :
 GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-08-30 23:09:52
Windows 5.1.2600 Service Pack 3
Running: kw4152jw.exe; Driver: C:\DOCUME~1\valery\LOCALS~1\Temp\awadrpod.sys


---- Devices - GMER 1.0.15 ----

Device   \FileSystem\Ntfs \Ntfs       8A416BA8
Device   \Driver\Tcpip \Device\Ip     89E54130
Device   \Driver\Tcpip \Device\Tcp    89E54130
Device   \Driver\Tcpip \Device\Udp    89E54130
Device   \Driver\Tcpip \Device\RawIp  89E54130

---- Services - GMER 1.0.15 ----

Service   (*** hidden *** )           [BOOT] vnbwhd   <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

kalimusic · Answer

re,  

C'est suffisant, le fichier qui ne voulait pas se faire analyser est bien un rootkit comme je le supposais.  
On va faire cette recherche avant de le supprimer :  

Télécharge SEAF de C_XX :   

* Copie/colle vnbwhd dans le champ prévu à cette effet  
* Coche Chercher également dans le registre  
* Clique sur Lancer la recherche  

Poste le rapport obtenu (C:\Program Files\SEAF\SEAFlog.txt)

A +  
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

torftorf · Answer

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 23:51:21 le 30/08/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. vnbwhd
8. 
9. (!) --- Recherche registre
10. 
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12. 
13. "c:\WINDOWS\system32\drivers\vnbwhd.sys" [ ----A---- | 0 ]
14. TC: 17/08/2010,09:14:19 | TM: 30/08/2010,23:16:48 | DA: 30/08/2010,23:16:48
15. 
16. =========================
17. 
18. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
19. 
20. Aucun dossier trouvé
21. 
22. 
23. ====== Entrée(s) du registre ======
24. 
25. 
26. 
27. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]
28. "000"="vnbwhd"
29. 
30. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
31. "b"="C:\WINDOWS\system32\drivers\vnbwhd.sys"
32. 
33. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
34. "a"="C:\WINDOWS\system32\drivers\vnbwhd.sys"
35. 
36. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VNBWHD\0000]
37. "DeviceDesc"="vnbwhd"
38. 
39. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VNBWHD\0000]
40. "Service"="vnbwhd"
41. 
42. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vnbwhd\Enum]
43. "0"="Root\LEGACY_VNBWHD\0000"
44. 
45. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VNBWHD\0000]
46. "DeviceDesc"="vnbwhd"
47. 
48. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VNBWHD\0000]
49. "Service"="vnbwhd"
50. 
51. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VNBWHD\0000]
52. "DeviceDesc"="vnbwhd"
53. 
54. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VNBWHD\0000]
55. "Service"="vnbwhd"
56. 
57. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnbwhd\Enum]
58. "0"="Root\LEGACY_VNBWHD\0000"
59. 
60. [HKEY_USERS\S-1-5-21-73586283-1647877149-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]
61. "000"="vnbwhd"
62. 
63. [HKEY_USERS\S-1-5-21-73586283-1647877149-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
64. "b"="C:\WINDOWS\system32\drivers\vnbwhd.sys"
65. 
66. [HKEY_USERS\S-1-5-21-73586283-1647877149-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]
67. "a"="C:\WINDOWS\system32\drivers\vnbwhd.sys"
68. 
69. =========================
70. 
71. Fin à: 23:52:40 le 30/08/2010 ( E.O.F )

kalimusic · Answer

torftorf,

1. Télécharge  The Avenger (by Swandog46)

    * Dezippe le sur le Bureau, 
    * Ferme toutes tes applications et déconnecte toi du net 
    * Double clique sur son icône pour le lancer. 
    * Clique sur OK dans la fenêtre d'avertissement 
    * Copie/colle le texte en citation dans la fenêtre sous Input Script here 

Drivers to disable: 
vnbwhd.sys

Drivers to delete: 
vnbwhd.sys

Files to Delete: 
C:\WINDOWS\system32\drivers\vnbwhd.sys

Registry keys to delete: 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VNBWHD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VNBWHD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VNBWHD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vnbwhd\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnbwhd\Enum


    * Clique sur le bouton "Execute" 
    * Valide son exécution et accepte le reboot en cliquant successivement sur "Oui" 
    * Après le re-démarrage, le rapport indiquant les actions réalisées par The Avenger doit s'ouvrir spontanément 

 Attention le script contient la commande "Drivers to disable", The Avenger re-démarrera 2 fois 

    * Copie/colle le dans ton prochain message 

Tu peux le retrouver le fichier à la racine du disque : C:\avenger.txt 

A +

torftorf · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "vnbwhd.sys"
Disablement of driver "vnbwhd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\vnbwhd.sys" not found!
Deletion of driver "vnbwhd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\system32\drivers\vnbwhd.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VNBWHD" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_VNBWHD" deleted successfully.

Error:  registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VNBWHD" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VNBWHD" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vnbwhd\Enum" deleted successfully.

Error:  registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnbwhd\Enum" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vnbwhd\Enum" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

kalimusic · Answer

Bonjour,

1. Désolé, j'ai fait une erreur dans le script. Relance The Avenger avec la même procédure mais en utilisant ce script :

Drivers to disable: 
vnbwhd

Drivers to delete: 
vnbwhd
Copie/colle le rapport

2. Relance OTL  
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport  OTL.txt va s'ouvrir au format bloc-note 
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois

A +

torftorf · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "vnbwhd" disabled successfully.
Driver "vnbwhd" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

torftorf · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijIhVJIo1.txt

kalimusic · Answer

re,

Comment va le pc maintenant ? Antivir ne dit plus rien ?

Je vois que tu as déjà Malwarebytes' Anti-Malware, on va s'en servir :

    * Effectue la mise à jour  et lance un examen complet

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression 

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +

torftorf · Answer

ok , le scann complet va etre long , donc ça me laisse le temps d'aller bricoler ou .... d'aller jouer a world of warcraft lol .....

je vais y reflechir ^^ , a toutes pour les rapports

torftorf · Answer

et voila le rapport malwarbyte's :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4514

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31/08/2010 20:33:09
mbam-log-2010-08-31 (20-33-09).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
Elément(s) analysé(s): 320228
Temps écoulé: 1 heure(s), 53 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{E10FBCB6-86FA-49CB-97F8-951026C9C4BF}\RP711\A0089713.exe (Adware.ADON) -> Quarantined and deleted successfully.
F:\System Volume Information\_restore{E10FBCB6-86FA-49CB-97F8-951026C9C4BF}\RP711\A0089714.dll (Adware.GameSpyArcade) -> Quarantined and deleted successfully.

kalimusic · Answer

torftorf,

ok, Je suppose que tout roule 

1. On va désinstaller les outils utilisés car ils ne peuvent pas rester sur ton système.     

a) Relance OTL 
* Clique sur le bouton Purge outils
* Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système

b) Relance Ad-Remover 
* Clique sur Désinstaller   

c) Supprime les autres outils : SEAF et le fichier GMER du bureau kw4152jw.exe

2.  Désactive et réactive la restauration système de XP   
Crée un nouveau point sain de restauration comme indiqué ici : https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/#6-creer-un-point-de-restauration

3. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus. Je te conseille vivement de désinstaller Spybot S&D qui est devenu au fil du temps de moins en moins intéressant. Il est dépassé par les nouvelles menaces. La fonction "tea timer" pèse sur le système et la vaccination a tendance à ralentir la navigation.

infos : https://forum.malekal.com/viewtopic.php?t=8046&start=

Attention, ce logiciel a une désinstallation spécifique : https://jesses.pagesperso-orange.fr/Docs/Logiciels/SpybotAnnexe.htm  

4.  Télécharge et installe  JRE 6 Update 21 
Aide en images (merci Batch-man) : Installation/Mise à jour Java
Désinstalle les anciennes versions présentes : 4,7 & 16 ou Supprime les anciennes versions de Java avec JavaRa 

5. Nettoyage de Windows avec Ccleaner qui est déjà sur ton PC
Tuto : http://www.6ma.fr/tuto/ccleaner+v202-411
Ce logiciel doit être utilisé régulièrement pour nettoyer les fichiers temporaires et les cookies.

**************************************************************

      Quelques règles simples :

    * La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité :  1 seul anti-virus, 1 seul pare-feu (celui de Windows peut suffire), et en complément Malwarebytes : Antispyware gratuit : ça sert à rien!
    * Maintiens tes logiciels à jours avec Secunia OSI (merci australien)
Ou en utilisant leur logiciel Secunia Personal Software Inspector
Ou ce logiciel :  Update Checker
    *  Ne pas surfer en droits administrateurs
    * Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposés lors de l'installation. 
    * Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)
    * Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.
    * Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...) 

Je t'invite à lire ces différents articles, afin de surfer plus sereinement :

Prévention : comment éviter bien des infections (par Falkra)

Pourquoi et comment je me fais infecter ? (par Malekal) 


 
N'oublie pas de me faire part d'éventuelles difficultés dans les dernières étapes.
Si tout se passe bien clique ensuite sur résolu, merci.

torftorf · Answer

j'avais desinstallé spybot avant d'avoir lus correctement la desinstallation , que puis-je faire ? je le reinstalle et suis la manip ou j'en reste la ? 
merci

kalimusic · Answer

Si tu as créé un nouveau point de restauration sain comme indiqué au 2. 
Restaure à ce point. Puis désinstalle
http://www.ac-nancy-metz.fr/services/monxp/restauration_syst%C3%A8me_xp.htm

A +

torftorf · Answer

ok je fais cela et tout sera bon "logiquement" , il ne me reste plus qu'à te remercier pour cette patience et aide que tu apportes à nous les "noob en informatique " , heureusement que des pationnés comme toi / vous êtes ici pour nous aider :)   

cette aide me touche droit au coeur , encore merci et peut etre a bientot sur ccm  :)   
bye bye 

ps: dis moi je ne sais pas si je peux te demander cela à toi mais ;  
quand je demarre mon pc et que windows se charge arrivé au bureau , pour avoir accé à internet , je dois attendre au moins 1mn , voir parfois + d'une 1 mn . la connexion réseau est tres longue a obtenir , ( la connexion a la livebox ) . 

serais-tu pourquoi ?  
merci d'avance

Rapport hijackthis

25 réponses

Discussions similaires