Trojan m'attaque !! Fermé

Question

Bonjour,
Je suis attaque par Trojan horse et il me bloque l acces internet de la societe. EN plus il me telecharge des logicels antivirus genre "drivecleaner" qui essaye de s installer sur mon ordi , c'est le bazard ... Pouvez vius m'aider

J'ai essayé de nettoyer avec plusieurs logiciel comme j avais lu dans vos reponses mais ss resultat 
Je vousjoint un hitjack, apparemment ca peut vous aider !!

Logfile of HijackThis v1.99.1
Scan saved at 12:43:15, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\eim.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\Murielle\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32
ivsiikq.dll",setvm
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32] eim.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Merci de votre aide
Mu

Séb08 · Answer

slt,

tu es infecté par vundo je pense.
Pour en être sur fais cette manip :

Fais un clic droit sur l'outil HijackThis! - > "Renommer", puis renomme-le en scan.exe par exemple.

Lance HijackThis! (double clique scan.exe) puis clique Do a system scan and save a logfile, puis poste le rapport ici. 

a+

Mu · Answer

Ok,

J  ai reinstalle sur c:
et voila un log :

Logfile of HijackThis v1.99.1
Scan saved at 15:58:08, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\eim.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hitjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32
ivsiikq.dll",setvm
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32] eim.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Merci d'avance.

Mu

Séb08 · Answer

l n'est pas renommé ..

Pas grave on va essayé sans !

Télécharge VundoFix (par Atribune) de ce lien : 
http://www.atribune.org/ccount/click.php?id=4 

* Sauvegarde-le sur ton Bureau. 
* Double-clique VundoFix.exe afin de le lancer 
* Clique sur le bouton Scan for Vundo 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers 
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

a+

Mu · Answer

Merci Seb,

Ci joint les rapports :

Logfile of HijackThis v1.99.1
Scan saved at 17:27:43, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\eim.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hitjackthis\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32	kwnyqpg.dll (file missing)
O2 - BHO: (no name) - {AC16C3BC-AEBE-4B17-B0AD-D2B7F76DFAB8} - C:\WINDOWS\System32\hggfdec.dll (file missing)
O2 - BHO: (no name) - {B624F24A-2B01-44F1-B90A-61D066FFFFC8} - C:\WINDOWS\System32\wvwus.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32] eim.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe



VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 16:40:43 30/01/2007

Listing files found while scanning....

C:\WINDOWS\system32\awttroo.dll
C:\WINDOWS\system32\efccbyw.dll
C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\khfeefg.dll
C:\WINDOWS\system32
ivsiikq.dll
C:\WINDOWS\system32
nnnnnm.dll
C:\WINDOWS\system32
nnopnm.dll
C:\WINDOWS\system32\qkiisvin.ini
C:\WINDOWS\system32\qommmjk.dll
C:\WINDOWS\System32\suwvw.bak1
C:\WINDOWS\System32\suwvw.bak2
C:\WINDOWS\System32\suwvw.ini
C:\WINDOWS\System32	kwnyqpg.dll
C:\WINDOWS\system32\vturqnn.dll
C:\WINDOWS\system32\vturrrp.dll
C:\WINDOWS\System32\wvwus.dll
C:\WINDOWS\system32\xxyvuvv.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\awttroo.dll
C:\WINDOWS\system32\awttroo.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\efccbyw.dll
C:\WINDOWS\system32\efccbyw.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\hggfdec.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\khfeefg.dll
C:\WINDOWS\system32\khfeefg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
ivsiikq.dll
C:\WINDOWS\system32
ivsiikq.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
nnnnnm.dll
C:\WINDOWS\system32
nnnnnm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
nnopnm.dll
C:\WINDOWS\system32
nnopnm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qkiisvin.ini
C:\WINDOWS\system32\qkiisvin.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qommmjk.dll
C:\WINDOWS\system32\qommmjk.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.bak1
C:\WINDOWS\System32\suwvw.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.bak2
C:\WINDOWS\System32\suwvw.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.ini
C:\WINDOWS\System32\suwvw.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32	kwnyqpg.dll
C:\WINDOWS\System32	kwnyqpg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\vturqnn.dll
C:\WINDOWS\system32\vturqnn.dll Has been deleted!

 Attempting to delet
Beginning removal...

 Attempting to delete C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\hggfdec.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 17:08:41 30/01/2007

Listing files found while scanning....

C:\WINDOWS\system32\gebyxwt.dll
C:\WINDOWS\System32	kwnyqpg.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\gebyxwt.dll
C:\WINDOWS\system32\gebyxwt.dll Has been deleted!

Performing Repairs to the registry.
Done!


Merci d'avance

Mu

Séb08 · Answer

remet un log hijack stp

a+

Mu · Answer

Je te joint le log

Logfile of HijackThis v1.99.1
Scan saved at 17:57:00, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\eim.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hitjackthis\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32	kwnyqpg.dll (file missing)
O2 - BHO: (no name) - {AC16C3BC-AEBE-4B17-B0AD-D2B7F76DFAB8} - C:\WINDOWS\System32\hggfdec.dll (file missing)
O2 - BHO: (no name) - {B624F24A-2B01-44F1-B90A-61D066FFFFC8} - C:\WINDOWS\System32\wvwus.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32] eim.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Merci 
Mu

Séb08 · Answer

ok bien ...

Tu peux jeter Vundofix.

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
 mets les à jour, comme indiqué dans les démos ou tutos. 

Ne les utilises pas tout de suite.
 

Antispywares et autres :

*Ad-Aware (gratuit) 
Téléchargement : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html 
Le patch en Français pour Ad-Aware (gratuit) : 
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html
Tuto :
http://perso.orange.fr/entraide-hijackthis/AdAware/AdAware.htm

*Spybot (gratuit) :
Téléchargement :
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html 
voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

* AVG AS 

AVG anti spyware
https://www.01net.com/telecharger/
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
 https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
 https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiches tous les fichiers et dossiers : 
cliques sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage
 
[Coche] « afficher les dossiers et fichiers cachés »

[Décoches] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoches] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok]
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
 coche les cases devant ces lignes :

O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\System32	kwnyqpg.dll (file missing)
O2 - BHO: (no name) - {AC16C3BC-AEBE-4B17-B0AD-D2B7F76DFAB8} - C:\WINDOWS\System32\hggfdec.dll (file missing)
O2 - BHO: (no name) - {B624F24A-2B01-44F1-B90A-61D066FFFFC8} - C:\WINDOWS\System32\wvwus.dll (file missing)

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Win32] eim.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\RunServices: [Win32] eim.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Win32] eim.exe

O16 - DPF: {C942A79B-01ED-47EE-9DAA-1EFAA70DAB8E} (VacPro.int_ver22b) - http://www.muiegaozsicur.com/ocx/intES_ver22b.CAB

 et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
 puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================
->Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
 puis tape « entrée ». 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5).  
Aide ici :
windows xp demarrage en mode sans echec
========================================
->Recherche et supprime ces fichiers en gras (si présents) :

C:\WINDOWS\System32\lssas.exe<-- /!attention à l'othographe pour celui là!\
C:\WINDOWS\System32\eim.exe 
C:\WINDOWS\System32\winamp.exe

========================================
->Lance AVG pour un scan complet "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" : 

-> clique sur [Actions recommandées] et choisis "Quarantaines"
-> Re-clique sur l'onglet [Analyse] puis réalise une "Analyse complète du système"
Si un fichier est infecté en fin d'analyse
->Clique sur [Appliquer toutes les actions]
->Clique sur [Enregistrer le rapport] puis sur [Enregistrer le rapport sous].
->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
========================================
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
========================================
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
========================================
->Lance CCleaner.

Suppression des fichiers temporaires 

Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche
 Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". 
Retourne ensuite dans la section "Nettoyeur" 
Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé) 
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois. 
• Une fois le scan terminé, clique sur [Lancer le Nettoyage] 

Suppression des incohérences du registre 

• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre. 
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée. 
• Tu peux cliquer ensuite sur [Corriger les erreurs]. 

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal, relance Hijackthis et copie/colle un nouveau rapport sur le forum.

Et dis moi ou en sont tes probs s’il t’en reste.

A+

MU · Answer

rE BONSOIR !

Je crois que j ai fait tt ce que tu m as dit, je t envoi les rapports:
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	23:35:55 30/01/2007

 + Résultat de l'analyse:	



C:\Documents and Settings\cd\Cookies\cd@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.
C:\Documents and Settings\MURIELLE\Cookies\murielle@ads-205.quarterserver[1].txt -> TrackingCookie.Quarterserver : Nettoyé.
C:\Documents and Settings\MURIELLE\Cookies\murielle@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyé.
:mozilla.10:C:\Documents and Settings\MURIELLE\Application Data\Mozilla\Firefox\Profiles\383wxt2t.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.11:C:\Documents and Settings\MURIELLE\Application Data\Mozilla\Firefox\Profiles\383wxt2t.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.6:C:\Documents and Settings\MURIELLE\Application Data\Mozilla\Firefox\Profiles\383wxt2t.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.7:C:\Documents and Settings\MURIELLE\Application Data\Mozilla\Firefox\Profiles\383wxt2t.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.8:C:\Documents and Settings\MURIELLE\Application Data\Mozilla\Firefox\Profiles\383wxt2t.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\MURIELLE\Cookies\murielle@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport

 et hijack:
Logfile of HijackThis v1.99.1
Scan saved at 23:42:42, on 30/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\hitjackthis\scan.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINDOWS\System32\aokgdeii.dll
O2 - BHO: (no name) - {AC16C3BC-AEBE-4B17-B0AD-D2B7F76DFAB8} - C:\WINDOWS\System32\wvusttt.dll
O2 - BHO: (no name) - {F7DEC6CF-6B4E-4A71-B755-06A17F143D35} - C:\WINDOWS\System32\ljjji.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\rnifabnb.dll",setvm
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: ljjji - C:\WINDOWS\System32\ljjji.dll
O20 - Winlogon Notify: wvusttt - C:\WINDOWS\SYSTEM32\wvusttt.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Voila, sinon je n ai pas eu le temps de voir si les pb persistait, je te le dit demain, merci beaucoup .
Mu

Séb08 · Answer

Ok le scan AVG n'a rien donné, il n'a trouvé que des cookies.

Par contre Vundo est revenu ....

Télécharge VundoFix (par Atribune) de ce lien : 
http://www.atribune.org/ccount/click.php?id=4 

* Sauvegarde-le sur ton Bureau. 
* Double-clique VundoFix.exe afin de le lancer 
* Clique sur le bouton Scan for Vundo 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers 
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

a+

Mu · Answer

Bonjour,

J ai refait Vundo mais à chaque fois il trouve un fichier appelé :"aokqdeii.dll" , apparemment il n arrive pas a effacer
je te joint les rapports :

Logfile of HijackThis v1.99.1
Scan saved at 11:24:58, on 31/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\hitjackthis\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0504C2BB-700A-4952-B5A4-E8350249C970} - C:\WINDOWS\System32\ljjji.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINDOWS\System32\aokgdeii.dll (file missing)
O2 - BHO: (no name) - {AC16C3BC-AEBE-4B17-B0AD-D2B7F76DFAB8} - C:\WINDOWS\System32\wvusttt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 16:40:43 30/01/2007

Listing files found while scanning....

C:\WINDOWS\system32\awttroo.dll
C:\WINDOWS\system32\efccbyw.dll
C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\khfeefg.dll
C:\WINDOWS\system32
ivsiikq.dll
C:\WINDOWS\system32
nnnnnm.dll
C:\WINDOWS\system32
nnopnm.dll
C:\WINDOWS\system32\qkiisvin.ini
C:\WINDOWS\system32\qommmjk.dll
C:\WINDOWS\System32\suwvw.bak1
C:\WINDOWS\System32\suwvw.bak2
C:\WINDOWS\System32\suwvw.ini
C:\WINDOWS\System32	kwnyqpg.dll
C:\WINDOWS\system32\vturqnn.dll
C:\WINDOWS\system32\vturrrp.dll
C:\WINDOWS\System32\wvwus.dll
C:\WINDOWS\system32\xxyvuvv.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\awttroo.dll
C:\WINDOWS\system32\awttroo.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\efccbyw.dll
C:\WINDOWS\system32\efccbyw.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\hggfdec.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\khfeefg.dll
C:\WINDOWS\system32\khfeefg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
ivsiikq.dll
C:\WINDOWS\system32
ivsiikq.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
nnnnnm.dll
C:\WINDOWS\system32
nnnnnm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
nnopnm.dll
C:\WINDOWS\system32
nnopnm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qkiisvin.ini
C:\WINDOWS\system32\qkiisvin.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qommmjk.dll
C:\WINDOWS\system32\qommmjk.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.bak1
C:\WINDOWS\System32\suwvw.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.bak2
C:\WINDOWS\System32\suwvw.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.ini
C:\WINDOWS\System32\suwvw.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32	kwnyqpg.dll
C:\WINDOWS\System32	kwnyqpg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\vturqnn.dll
C:\WINDOWS\system32\vturqnn.dll Has been deleted!

 Attempting to delet
Beginning removal...

 Attempting to delete C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\hggfdec.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 17:08:41 30/01/2007

Listing files found while scanning....

C:\WINDOWS\system32\gebyxwt.dll
C:\WINDOWS\System32	kwnyqpg.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\gebyxwt.dll
C:\WINDOWS\system32\gebyxwt.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 09:17:07 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll
C:\WINDOWS\system32\bnbafinr.ini
C:\WINDOWS\System32\ijjjl.bak1
C:\WINDOWS\System32\ijjjl.ini
C:\WINDOWS\System32\ljjji.dll
C:\WINDOWS\system32nifabnb.dll
C:\WINDOWS\system32\wvusttt.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\aokgdeii.dll
C:\WINDOWS\System32\aokgdeii.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\bnbafinr.ini
C:\WINDOWS\system32\bnbafinr.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ijjjl.bak1
C:\WINDOWS\System32\ijjjl.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ijjjl.ini
C:\WINDOWS\System32\ijjjl.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ljjji.dll
C:\WINDOWS\System32\ljjji.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32nifabnb.dll
C:\WINDOWS\system32nifabnb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\wvusttt.dll
C:\WINDOWS\system32\wvusttt.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 09:40:43 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 10:15:58 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 10:23:31 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 10:30:26 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 11:18:44 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

Merci d'avance

Mu

Séb08 · Answer

Ok rend moi un petit service s'il te plait avant de faire la manip.

1) Va sur ce site : 
http://www.uploadmalware.com/ 
...pour uploader un fichier douteux pour analyse. 

*"Your Username": -> Entre ton pseudo de ce forum 
*"Topic Where File Was Requested": -> Copie/colle le lien vers cette discussion 
*"File(s) To Submit": ->Case "1" ->Bouton [Parcourir...] pour naviguer vers ce nom de fichier : 

C:\WINDOWS\System32\aokgdeii.dll 

*Clique sur Send File 

*Merci :-) 
================= 

2) Suppression des fichiers : 

*Lance VundoFix, mais ne clique pas "Scan for Vundo" 
*Fais un clic droit dans la fenêtre blanche de l'outil et choisis Add more files? 

*Dans la première case, colle ceci : 

C:\WINDOWS\System32\aokgdeii.dll 


*Clique sur le bouton Add file, puis sur Close Window 
*Clique maintenant sur Remove Vundo 
*Une invite te demandera si tu veux supprimer les fichiers; clique Yes 
*Ton Bureau va disparaître un moment, puis l'outil t'avertira qu'il doit redémarrer; clique Ok 

*Colle le rapport de l'outil, situé à C:\vundofix.txt dans ta prochaine réponse, ainsi qu'un nouveau rapport HijackThis! 

Je serai de retour en soirée je pense.

A+

Mu · Answer

ok, j 'ai fait ce que tu m as dit , 
<Voilz les rapports :

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 16:40:43 30/01/2007

Listing files found while scanning....

C:\WINDOWS\system32\awttroo.dll
C:\WINDOWS\system32\efccbyw.dll
C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\khfeefg.dll
C:\WINDOWS\system32
ivsiikq.dll
C:\WINDOWS\system32
nnnnnm.dll
C:\WINDOWS\system32
nnopnm.dll
C:\WINDOWS\system32\qkiisvin.ini
C:\WINDOWS\system32\qommmjk.dll
C:\WINDOWS\System32\suwvw.bak1
C:\WINDOWS\System32\suwvw.bak2
C:\WINDOWS\System32\suwvw.ini
C:\WINDOWS\System32	kwnyqpg.dll
C:\WINDOWS\system32\vturqnn.dll
C:\WINDOWS\system32\vturrrp.dll
C:\WINDOWS\System32\wvwus.dll
C:\WINDOWS\system32\xxyvuvv.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\awttroo.dll
C:\WINDOWS\system32\awttroo.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\efccbyw.dll
C:\WINDOWS\system32\efccbyw.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\hggfdec.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\khfeefg.dll
C:\WINDOWS\system32\khfeefg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
ivsiikq.dll
C:\WINDOWS\system32
ivsiikq.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
nnnnnm.dll
C:\WINDOWS\system32
nnnnnm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
nnopnm.dll
C:\WINDOWS\system32
nnopnm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qkiisvin.ini
C:\WINDOWS\system32\qkiisvin.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qommmjk.dll
C:\WINDOWS\system32\qommmjk.dll Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.bak1
C:\WINDOWS\System32\suwvw.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.bak2
C:\WINDOWS\System32\suwvw.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\suwvw.ini
C:\WINDOWS\System32\suwvw.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32	kwnyqpg.dll
C:\WINDOWS\System32	kwnyqpg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\vturqnn.dll
C:\WINDOWS\system32\vturqnn.dll Has been deleted!

 Attempting to delet
Beginning removal...

 Attempting to delete C:\WINDOWS\system32\hggfdec.dll
C:\WINDOWS\system32\hggfdec.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 17:08:41 30/01/2007

Listing files found while scanning....

C:\WINDOWS\system32\gebyxwt.dll
C:\WINDOWS\System32	kwnyqpg.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\gebyxwt.dll
C:\WINDOWS\system32\gebyxwt.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 09:17:07 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll
C:\WINDOWS\system32\bnbafinr.ini
C:\WINDOWS\System32\ijjjl.bak1
C:\WINDOWS\System32\ijjjl.ini
C:\WINDOWS\System32\ljjji.dll
C:\WINDOWS\system32nifabnb.dll
C:\WINDOWS\system32\wvusttt.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\aokgdeii.dll
C:\WINDOWS\System32\aokgdeii.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\bnbafinr.ini
C:\WINDOWS\system32\bnbafinr.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ijjjl.bak1
C:\WINDOWS\System32\ijjjl.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ijjjl.ini
C:\WINDOWS\System32\ijjjl.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ljjji.dll
C:\WINDOWS\System32\ljjji.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32nifabnb.dll
C:\WINDOWS\system32nifabnb.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\wvusttt.dll
C:\WINDOWS\system32\wvusttt.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 09:40:43 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 10:15:58 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 10:23:31 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 10:30:26 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

VundoFix V6.3.5

Checking Java version...

Sun Java not detected
Scan started at 11:18:44 31/01/2007

Listing files found while scanning....

C:\WINDOWS\System32\aokgdeii.dll

Beginning removal...

Performing Repairs to the registry.
Done!

Beginning removal...

Performing Repairs to the registry.
Done!

Logfile of HijackThis v1.99.1
Scan saved at 08:49:20, on 01/02/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\hitjackthis\scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {0504C2BB-700A-4952-B5A4-E8350249C970} - C:\WINDOWS\System32\ljjji.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINDOWS\System32\aokgdeii.dll (file missing)
O2 - BHO: (no name) - {AC16C3BC-AEBE-4B17-B0AD-D2B7F76DFAB8} - C:\WINDOWS\System32\wvusttt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Merci de m aider
Mu

Séb08 · Answer

Tu as bien uploader le fichiers indiqué ?
Si oui merci ca fera avancer les choses.

Relance Hijack,choisi « do a scan only » ou « scanner seulement » coches ces lignes :

O2 - BHO: (no name) - {0504C2BB-700A-4952-B5A4-E8350249C970} - C:\WINDOWS\System32\ljjji.dll (file missing)
O2 - BHO: (no name) - {68D5CF1D-EC5C-4bdd-A9EF-F0E517565D50} - C:\WINDOWS\System32\aokgdeii.dll (file missing)
O2 - BHO: (no name) - {AC16C3BC-AEBE-4B17-B0AD-D2B7F76DFAB8} - C:\WINDOWS\System32\wvusttt.dll (file missing)

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized


Ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus, puis clique « Fix checked » ou « fixer objet ». Ferme HijackThis!

=================
Arrête ce service

AVG Anti-Spyware Guard 

pour ça fais cette manip :

Démarrer -> executer tape services.msc  clic droit sur le service cité - > propriétés et dans "type de démarrage" et mets le sur « arrêté »  et « désactivé ».

=================

Supprime Vundofix .Vide ta poubelle , redémarre ton PC.

=================

- > Pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) : 
http://www.bitdefender.fr/bd/site/search.php#
Clique sur « Bitdefender scan on line »  suis les instructions.
Démo (merci à balltrap pour cette démo) :
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

Et colle le rapport.

a+

Séb08 · Answer

Tu n'avais pas supprimer Vundofix et vidé la poubelle ...

Ou en sont tes soucis ?

Remet un log hijack STP

a+

Séb08 · Answer

il y a encore ces lignes :

O4 - HKLM\..\Run: [Win32] ytx.exe
O4 - HKLM\..\RunServices: [Win32] ytx.exe
O4 - HKCU\..\Run: [Win32] ytx.exe 

====================

Télécharges smitfraudfix:(merci a S!RI pour ce programme)
 
En image : 
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu le décompresses tu doubles cliques sur smitfraudfix.cmd et tu choisis l option 1 
cela vas générer un rapport,copie/colle le.


a+

Séb08 · Answer

Ta version de smitfraudfix est passée.

Met la à jour en le lancant et en choisissant l'option 4 (mise à jour) sinon installle celle que je t'ai mis au <19> et colle le rapport option 1.

Tu as fixé les lignes que j'ai cité au <19> avec hijack ?

a+

sleayer · Answer

Bonjour !
j'ai la réponse au problème de trojan ljjji.dll (j'ai oublié le nom du trojan)
solution testé sur VISTA

télécharger ccleaner
faire le nettoyage de tout les fichiers temps et fichier registre (garder les paramêtres par défaut) et tout effacer. J'ai plusieurs fait l'essai et j'ai jamais eu a récupérer la base de registre ou autre fichier. Si vous avez peur, faite une sauvegarde de la base de registre lorsque l'application le propose. Sinon, faite comme moi ! bye bye cochonnerie.
bon,
regarder dans le répertoire c:\windows\system32\fccdecd.dll et le renommer en fccdecd.dll
ce fichier protège le fichier qui vous embête. Maintenant qu'il est renommé, il ne fonctionnera plus.

le fichier qui cause problème est caché dans [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

cliquer sur le menu run ou exécuter et taper regedit et entrer. (attention a ceux qui ne connaisse pas, faut suivre les explications)

aller dans [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
vous aller voir une clef qui pointe sur ljjji.dll
si vous supprimer cette clef et faite un rafraichissement (refresh) la clef va revenir. C'est parce que le fichier est en cours d'exécution et il est impossible a supprimer ou a renommer.

Voici le truc. Assurer vous d'être dans le groupe administrateur de la machine et d'utiliser un compte autre que le compte administrateur.

vous avez juste a supprimer les permissions d'accès a ce fichier pour tous le monde et oui, tous le monde y compris vous même. Dans les propriétés du fichier, retirer tout les utilisateurs et garder que votre compte et cliquer permission refusé pour tout (controle totale refusé) le fichier est dans C:\Users\ ... nom de votre user ...\AppData\Local\Temp

une fois que vous n'avez plus accès, vous n'avez qu'a redémarrer votre poste.
une fois redémarré, le système vous avise qu'il a bloqué un fichier qui ne peut pas etre exécuté parce que vous n'avez pas les accès.
super ! ca marche.
maintenant que le système a bloqué l'exécution du fichier, vous pouver aller renommer le fichier ljjji.dll par ljji.old
une fois fait, utiliser cccleaner afin de nettoyer la base de registre. ou aller supprimer la clef dans le même chemin (voir plus haut)

une fois la clef supprimer, vérifier en faisant F5 qu'elle ne revient pas toute seule. Super c'est pas revenue !
maintenant, vous pouvez supprimer le fichier ljjji.old ... vous n'avez pas accès ? facile ...
démarrer IE à l'aide du bouton droit sur l'icone internet explorer en tant qu'Administrateur.
dans la barre d'adresse écrire le chemin suivant : C:\Users\ ... nom de votre user ...\AppData\Local\Temp
vous voyez le fichier, supprimer le car votre IE est démarré en tant qu'administrateur et vous avez donc le droit de le supprimer (l'administrateur du système - compte primaire) a toujours les droits ou la possibilité de récupérer les droits sur un fichier.

une fois fait, redémarrer et voila !

je vérifier toujours avec ccleaner afin qu'il ne reste plus rien dans la base de registre avec des liens mort vers des fichiers qui n'existe plus.
voila !

(désolé pour la super composition, j'ai écris d'une traite et de tête )

ciao
SLEAYER

Trojan m'attaque !!

17 réponses

Discussions similaires

Newsletters