[Virus] trojen win32 (udial.exe) Résolu/Fermé

Question

bonjour a tous,

j'aurais besoin de votre aide pour combattre un trojen win32 détecté par avast!. 
dès que j'ouvre une page internet, une autre page s'ouvre également (sur un site porno en plus). J'ai des fichiers infectés dans temp, temporary files internet, sytem32. Si je clique dessus, des fois ils disparaissent. Certains ne peuvent être effacés.
j'ai fait un hijack (j'ai dû renommer  hijack.exe pour les détecter) où apparaissent udial.exe et v6.exe que j'ai fixé mais c'est réapparu tout comme les erreurs de registre détecté et corrigé par spybot.
j'ai déjà fait un scan avast!, adaware, ewido, spybot et a² en mode sans échec  ainsi qu'un scan online kaspersky, 

bref, ca fait des jours que ca dure, j'aurais besoin de vos conseils svp

mon analyse hijack:

Logfile of HijackThis v1.99.1
Scan saved at 12:32:23, on 15/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\LexmarkX84-X85\ACMonitor_X84-X85.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\LexmarkX84-X85\AcBtnMgr_X84-X85.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\Wireless LAN Utility\SISCFG.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\BOINC\boinc.exe
C:\Program 

Files\BOINC\projects\setiathome.berkeley.edu\setiathome_5.15_windows_intelx86

.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\v6.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\TEMP\win1CB.tmp.exe
C:\HijackThis\abcd.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 

https://www.google.fr/?gws_rd=ssl
O2 - BHO: Adobe PDF Reader Link Helper - 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2DECA9FD-9E10-4A28-9F4D-121F40540A59} - 

C:\WINDOWS\system32\vtuspmn.dll
O2 - BHO: (no name) - {45768277-AC53-B08B-569E-08AAB2319AE1} - 

C:\WINDOWS\system32\xbwgkhl.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - 

C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 

C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil 

Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program 

Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" 

-lang 1033
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] 

C:\PROGRA~1\LexmarkX84-X85\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] 

C:\PROGRA~1\LexmarkX84-X85\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers 

communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers 

communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program 

Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [UVS10 Preload] C:\Program Files\Ulead Systems\Ulead 

VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [UDial] C:\WINDOWS\system32/udial.exe
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\system32\v6.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe 

C:\WINDOWS\system32\drvrut.dll,startup
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 

"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SoftLite] 

C:\DOCUME~1\Administrateur.ORDI-XPSP2\Application 

Data\ItchScr\idolcreative.exe
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program 

Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program 

Files\3M\PSNLite\PsnLite.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN 

Utility\SiWake.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 

Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - 

%windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - 

{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file 

missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O17 - 

HKLM\System\CCS\Services\Tcpip\..\{95AE8592-66C9-4BB6-BFD5-8DD852A923A7}: 

NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - 

C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program 

Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - 

C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - 

C:\Program Files\Windows Live Mail desktop\mailcomm.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - 

C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: vtuspmn - C:\WINDOWS\SYSTEM32\vtuspmn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrge32 - C:\WINDOWS\SYSTEM32\winrge32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - 

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil 

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil 

Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil 

Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - 

C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision 

Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 

32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - 

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero 

BackItUp\NBService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, 

Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe


merci d'avance :)

(je viens aussi de faire un VundoFix mais c'est tjs là)

Xzr · Answer

C:\WINDOWS\TEMP\win1CB.tmp.exe (c'est un trojan)

C:\WINDOWS\system32\vtuspmn.dll
O2 - BHO: (no name) - {45768277-AC53-B08B-569E-08AAB2319AE1} -

philae83 · Answer

Bonjour kitoku

peux tu stp

* Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Kitoku · Answer

Slt Xzr!
merci d'avoir répondu à mon message.

j'ai fixé le bho que tu m'as indiqué, mais je suis toujours infectée.
et je ne vois pas C:\WINDOWS\system32\vtuspmn.dll, il est par contre en .bad dans VundoFix.

je ne peux pas effacer manuellement les fichiers, mais je les repère car ils ont icone particulière.
j'ai deja effacé tous ces fichiers en mode sans échec mais ya rien a faire ca revient.

je remet un hijack, je sais pas si ca aide vraiment, les lignes que je fixe reviennent (unidial.exe et v6.exe)

Logfile of HijackThis v1.99.1
Scan saved at 14:50:53, on 15/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\LexmarkX84-X85\ACMonitor_X84-X85.exe
C:\PROGRA~1\LexmarkX84-X85\AcBtnMgr_X84-X85.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\Program Files\BOINC\boincmgr.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Wireless LAN Utility\SISCFG.exe
C:\Program Files\BOINC\boinc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\BOINC\projects\setiathome.berkeley.edu\setiathome_5.15_windows_intelx86.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\TEMP\win1CB.tmp.exe
C:\WINDOWS\system32\udial.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\udial.exe
C:\WINDOWS\system32\udial.exe
C:\HijackThis\abcd.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {45768277-AC53-B08B-569E-08AAB2319AE1} - C:\WINDOWS\system32\xbwgkhl.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LexmarkX84-X85\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LexmarkX84-X85\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [UVS10 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvrut.dll,startup
O4 - HKLM\..\Run: [UDial] C:\WINDOWS\system32/udial.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SoftLite] C:\DOCUME~1\Administrateur.ORDI-XPSP2\Application Data\ItchScr\idolcreative.exe
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{95AE8592-66C9-4BB6-BFD5-8DD852A923A7}: NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live Mail desktop\mailcomm.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrge32 - C:\WINDOWS\SYSTEM32\winrge32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

philae83 · Answer

re bonjour,

laisse tomber, c'est évident que ce n'est pas avec ça que tu vas soigner ton pc, par contre regarde mon post un peu plus haut, je t'ai demandé qq chose
 
Slt Xzr!
merci d'avoir répondu à mon message.

philae83 · Answer

re

slt philae83, excuse moi je n'avais pas vu ton message. jte remercie de m'aider.

pas grave

j'ai refait un VundoFix comme tu me l'as demandé mais il n'a rien trouvé cette fois-ci, jte colle quand meme le rapport de celui que javais fait un peu avant (si jamais ca peut servir) 
merci

connais tu ce programme ?
O4 - HKCU\..\Run: [SoftLite] C:\DOCUME~1\Administrateur.ORDI-XPSP2\Application Data\ItchScr\idolcreative.exe 

Telecharge: Pocket Killbox
http://www.downloads.subratam.org/killBox.exe 

puis

* lance hijackthis puis coche ces lignes :

O2 - BHO: (no name) - {45768277-AC53-B08B-569E-08AAB2319AE1} - C:\WINDOWS\system32\xbwgkhl.dll (file missing) 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot 
O4 - HKLM\..\Run: [UDial] C:\WINDOWS\system32/udial.exe 
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O20 - Winlogon Notify: winrge32 - C:\WINDOWS\SYSTEM32\winrge32.dll 

clique sur : fix checked

1- Double-clic sur KillBox.exe
2- Selectionne "Delete on Reboot"
3 - Dans "Full Path of File to Delete"
copie et colle: 

C:\WINDOWS\SYSTEM32\winrge32.dll 

5- clic sur le rond rouge
6- une fenetre va apparaitre pour confirmation clic sur OUI
7- une seconde fenetre te demande si tu veux redemarrer clic sur OUI 

reposte un nouveau rapport hijackthis

Kitoku · Answer

jai fait ce que tu mas demandé:
jai utilisé killbox sur 
C:\WINDOWS\SYSTEM32\winrge32.dll

par contre jme suis dit que tant qu'a faire j'avais qu'à essayer sur C:\WINDOWS\SYSTEM32\udial.exe 
(fichier infecté quil m'était impossible de supprimer à la main)

sinon pour 
O4 - HKCU\..\Run: [SoftLite] C:\DOCUME~1\Administrateur.ORDI-XPSP2\Application Data\ItchScr\idolcreative.exe 
je ne sais pas ce que c'est, j'ai cherché sur google pr voir a quel programme ca correspondait mais j'ai pas trouvé du coup jlai laissé. 


voila ce que donne le rapport hijack:



Logfile of HijackThis v1.99.1
Scan saved at 16:30:38, on 15/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\LexmarkX84-X85\ACMonitor_X84-X85.exe
C:\PROGRA~1\LexmarkX84-X85\AcBtnMgr_X84-X85.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\Program Files\BOINC\boincmgr.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Wireless LAN Utility\SISCFG.exe
C:\Program Files\BOINC\boinc.exe
C:\Program Files\BOINC\projects\setiathome.berkeley.edu\setiathome_5.15_windows_intelx86.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\abcd.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LexmarkX84-X85\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LexmarkX84-X85\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [UVS10 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SoftLite] C:\DOCUME~1\Administrateur.ORDI-XPSP2\Application Data\ItchScr\idolcreative.exe
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{95AE8592-66C9-4BB6-BFD5-8DD852A923A7}: NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live Mail desktop\mailcomm.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrge32 - winrge32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

philae83 · Answer

re

par contre jme suis dit que tant qu'a faire j'avais qu'à essayer sur C:\WINDOWS\SYSTEM32\udial.exe
(fichier infecté quil m'était impossible de supprimer à la main) 

tu as bien fait, car j'ai oublié de te le mettre à virer avec killbox

quant à ton autre programme, justement, j'aimerai ceci :

* Télécharge LopXPMH sur ton Bureau.
http://perso.numericable.fr/%7Ealtshift/Info/Fichiers/lopxpMH2.zip


* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir.

Kitoku · Answer

rapport de lop: Rapport fait à 16:50:09,10 le 15/02/2007 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 22/05/2006 21:40 . 22/05/2006 21:40 .. 30/05/2006 16:33 Adobe 06/06/2006 11:39 AdobeUM 23/05/2006 00:31 Ahead 22/05/2006 22:07 AVG7 31/05/2006 21:18 BSplayer 07/06/2006 14:01 Conceptworld 23/05/2006 18:16 dvdcss 22/05/2006 21:40 Identities 22/05/2006 22:09 Lavasoft 23/05/2006 00:37 Macromedia 27/05/2006 23:59 Media Player Classic 22/05/2006 21:40 Microsoft 22/05/2006 22:00 Mozilla 31/05/2006 21:50 Real 23/05/2006 02:44 ShopperReports 23/05/2006 18:12 vlc 22/05/2006 21:40 62 desktop.ini 1 fichier(s) 62 octets 18 R‚p(s) 6ÿ585ÿ470ÿ976 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 22/05/2006 21:40 . 22/05/2006 21:40 .. 30/05/2006 16:33 Adobe 23/05/2006 00:32 Ahead 23/05/2006 16:22 Identities 22/05/2006 21:40 Microsoft 22/05/2006 22:00 Mozilla 07/06/2006 16:21 WMTools Downloaded Files 24/05/2006 13:01 86ÿ016 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 23/05/2006 18:02 12ÿ720 GDIPFONTCACHEV1.DAT 05/06/2006 19:09 6ÿ978ÿ862 IconCache.db 3 fichier(s) 7ÿ077ÿ598 octets 8 R‚p(s) 6ÿ585ÿ470ÿ976 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data 12/06/2006 12:00 . 12/06/2006 12:00 .. 15/07/2006 12:24 3M 02/07/2006 20:35 Adobe 03/08/2006 16:42 AdobeAUM 07/07/2006 17:28 AdobeUM 18/07/2006 21:38 Ahead 13/09/2006 22:55 Apple Computer 12/02/2007 13:20 AVSMedia 15/01/2007 20:35 BitGrabber 28/06/2006 11:07 Brother 31/07/2006 17:27 BSplayer 16/07/2006 10:04 dvdcss 22/10/2006 11:22 Help 12/06/2006 12:01 Identities 17/01/2007 10:31 ItchScr 12/02/2007 23:15 Jasc 12/06/2006 13:39 Lavasoft 01/11/2006 18:42 Leadertech 12/06/2006 13:26 Macromedia 31/07/2006 14:40 Media Player Classic 12/06/2006 12:00 Microsoft 12/06/2006 13:22 Mozilla 12/07/2006 12:42 Real 21/07/2006 11:12 Sun 22/11/2006 23:46 U3 14/02/2007 14:35 Ulead Systems 13/06/2006 01:35 vlc 02/07/2006 20:35 1ÿ557 AdobeDLM.log 12/06/2006 12:00 62 desktop.ini 02/07/2006 20:35 0 dm.ini 3 fichier(s) 1ÿ619 octets 28 R‚p(s) 6ÿ585ÿ470ÿ976 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Administrateur.ORDI-XPSP2\Local Settings\Application Data 12/06/2006 12:00 . 12/06/2006 12:00 .. 02/07/2006 20:46 Adobe 18/07/2006 21:39 Ahead 18/12/2006 09:02 Apple Computer 22/10/2006 11:22 Help 13/06/2006 12:47 Identities 12/06/2006 12:00 Microsoft 13/07/2006 13:31 Microsoft Help 12/06/2006 13:22 Mozilla 15/02/2007 08:23 3ÿ584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 12/06/2006 14:21 60ÿ672 GDIPFONTCACHEV1.DAT 13/07/2006 13:33 8ÿ058ÿ980 IconCache.db 3 fichier(s) 8ÿ123ÿ236 octets 10 R‚p(s) 6ÿ585ÿ466ÿ880 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Administrateur~ORDI-XPSP2 Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Administrateur~ORDI-XPSP2\Local Settings Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\All Users\Application Data 22/05/2006 23:27 . 22/05/2006 23:27 .. 30/05/2006 16:33 Adobe 06/06/2006 14:57 Apple Computer 22/05/2006 22:07 avg7 22/05/2006 22:07 Grisoft 22/05/2006 23:27 Microsoft 12/06/2006 07:21 Spybot - Search & Destroy 22/05/2006 23:27 62 desktop.ini 1 fichier(s) 62 octets 8 R‚p(s) 6ÿ585ÿ466ÿ880 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\All Users.WINDOWS\Application Data 12/06/2006 13:46 . 12/06/2006 13:46 .. 02/07/2006 20:40 Adobe 13/09/2006 22:51 Apple Computer 08/07/2006 16:27 BVRP Software 14/02/2007 13:38 InstallShield 14/06/2006 13:18 Messenger Plus! 12/06/2006 13:46 Microsoft 13/07/2006 13:30 Microsoft Help 14/02/2007 13:39 SmartSound Software Inc 12/06/2006 13:45 Spybot - Search & Destroy 13/01/2007 21:48 StatSoft 14/02/2007 13:37 Ulead Systems 28/08/2006 01:25 Windows Genuine Advantage 04/12/2006 20:26 305 addr_file.html 12/06/2006 13:47 62 desktop.ini 2 fichier(s) 367 octets 14 R‚p(s) 6ÿ585ÿ466ÿ880 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Default User\Application Data 22/05/2006 23:27 . 22/05/2006 23:27 .. 22/05/2006 23:27 Microsoft 22/05/2006 23:27 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 6ÿ585ÿ466ÿ880 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 22/05/2006 23:27 . 22/05/2006 23:27 .. 22/05/2006 21:36 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 6ÿ585ÿ466ÿ880 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Default User.WINDOWS\Application Data 12/06/2006 13:46 . 12/06/2006 13:46 .. 12/06/2006 13:46 Microsoft 12/06/2006 13:47 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 6ÿ585ÿ466ÿ880 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\Default User.WINDOWS\Local Settings\Application Data 12/06/2006 13:47 . 12/06/2006 13:47 .. 12/06/2006 11:55 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\LocalService\Application Data 22/05/2006 21:40 . 22/05/2006 21:40 .. 22/05/2006 22:07 AVG7 22/05/2006 21:40 Microsoft 0 fichier(s) 0 octets 4 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 22/05/2006 21:40 . 22/05/2006 21:40 .. 22/05/2006 21:40 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\LocalService.AUTORITE NT\Application Data 12/06/2006 12:00 . 12/06/2006 12:00 .. 12/06/2006 12:00 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data 12/06/2006 12:00 . 12/06/2006 12:00 .. 12/06/2006 12:00 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\NetworkService\Application Data 22/05/2006 21:40 . 22/05/2006 21:40 .. 22/05/2006 22:53 AVG7 22/05/2006 21:40 Microsoft 0 fichier(s) 0 octets 4 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 22/05/2006 21:40 . 22/05/2006 21:40 .. 22/05/2006 21:40 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\NetworkService.AUTORITE NT\Application Data 12/06/2006 12:00 . 12/06/2006 12:00 .. 04/02/2007 19:31 Help 12/06/2006 12:00 Microsoft 0 fichier(s) 0 octets 4 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data 12/06/2006 12:00 . 12/06/2006 12:00 .. 04/02/2007 19:31 Help 12/06/2006 12:00 Microsoft 0 fichier(s) 0 octets 4 R‚p(s) 6ÿ585ÿ462ÿ784 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 22/05/2006 21:39 . 22/05/2006 21:39 .. 22/05/2006 21:39 Microsoft 12/06/2006 11:59 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 6ÿ585ÿ458ÿ688 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 22/05/2006 21:39 . 22/05/2006 21:39 .. 22/05/2006 21:39 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 6ÿ585ÿ458ÿ688 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\WINDOWS\Tasks 10/01/2007 12:44 302 a-squared Free.job 10/01/2007 12:42 366 Ad-Aware SE Personal.job 10/01/2007 12:29 324 Spybot - Search & Destroy - Scheduled Task.job 12/06/2006 12:00 6 SA.DAT 12/06/2006 11:53 65 desktop.ini 22/05/2006 21:33 .. 22/05/2006 21:33 . 5 fichier(s) 1ÿ063 octets 2 R‚p(s) 6ÿ585ÿ458ÿ688 octets libres ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est A81F-FE2C R‚pertoire de C:\Program Files 14/02/2007 13:39 . 14/02/2007 13:39 .. 15/07/2006 12:24 3M 02/07/2006 20:40 Adobe 28/06/2006 12:36 Agendis 22/05/2006 22:07 Alwil Software 17/01/2007 23:22 aMSN 13/09/2006 22:51 Apple Software Update 15/02/2007 11:30 a-squared Free 14/02/2007 11:45 AVSMedia 17/12/2006 10:31 BankPerfect 23/05/2006 16:23 BitComet 15/02/2007 16:49 BOINC 12/06/2006 12:06 C-Media 3D Audio 22/05/2006 21:32 ComPlus Applications 07/06/2006 14:01 Conceptworld 03/10/2006 22:02 DAEMON Tools 03/10/2006 22:02 DaemonTools_WhenUSaveNow_Installer 28/05/2006 00:41 DIFX 05/06/2006 18:32 DivX 14/02/2007 14:18 ewido anti-spyware 4.0 08/07/2006 16:27 FaxTools 14/02/2007 13:37 Fichiers communs 23/05/2006 02:31 filesubmit 02/12/2006 20:28 Free 30/12/2006 10:57 HT Web Cam 3.0 15/02/2007 07:51 Internet Explorer 15/01/2007 20:35 ItchScr 12/02/2007 23:15 Jasc Software Inc 30/01/2007 07:46 Java 23/05/2006 02:02 K-Lite Codec Pack 10/02/2007 18:50 Koala Player 2.6 XP 22/05/2006 22:09 Lavasoft 08/07/2006 16:29 LexmarkX84-X85 05/06/2006 19:11 Matroska Pack 15/07/2006 11:59 maxenda 06/01/2007 16:25 Messenger Plus! Live 13/06/2006 14:21 MessengerPlus! 3 08/07/2006 16:28 MGI 22/05/2006 21:36 microsoft frontpage 13/07/2006 13:32 Microsoft Office 13/07/2006 13:32 Microsoft Visual Studio 13/07/2006 13:32 Microsoft Works 22/05/2006 21:33 Movie Maker 15/02/2007 16:31 Mozilla Firefox 04/11/2006 22:06 MP3 Player Utilities 3.73 12/07/2006 12:35 Mpgdvd 22/05/2006 21:32 MSN Gaming Zone 17/01/2007 23:11 MSN Messenger 18/07/2006 21:36 Nero 22/05/2006 21:33 NetMeeting 16/12/2006 13:35 Outlook Express 13/09/2006 22:52 QuickTime 12/07/2006 12:42 Real 12/06/2006 12:14 RivaTuner v2.0 RC 15.8 22/05/2006 21:34 Services en ligne 04/08/2006 07:21 Setup 04/12/2006 12:04 SiS163 03/12/2006 15:32 SiS163u 14/02/2007 13:39 SmartSound Software 12/12/2006 18:38 Sniffy Pro Demo For Windows 30/01/2007 11:16 Spybot - Search & Destroy 13/01/2007 21:47 StatSoft 05/12/2006 22:53 Sunbelt Software 29/06/2006 01:11 Torrent Search 22/12/2006 23:27 Tweak-XP Pro 4 30/10/2006 19:32 Ubi Soft 14/02/2007 13:37 Ulead Systems 12/12/2006 18:38 3ÿ354 uninstal.log 07/06/2006 03:00 Unlocker 23/05/2006 18:11 VideoLAN 17/08/2006 22:03 Vimicro 14/02/2007 11:22 VirtualDubMOD 14/07/2006 14:40 Webteh 12/02/2007 16:41 WinAVI Video Converter 11/02/2007 11:50 Windows Live Mail desktop 09/01/2007 19:40 Windows Live Safety Center 14/02/2007 13:38 Windows Media Components 20/08/2006 02:04 Windows Media Player 22/05/2006 21:31 Windows NT 12/06/2006 13:30 WinRAR 13/07/2006 13:21 WinZip 04/12/2006 12:04 Wireless LAN Utility 22/05/2006 21:36 xerox 1 fichier(s) 3ÿ354 octets 83 R‚p(s) 6ÿ585ÿ454ÿ592 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow netsearchsoft.com REG_SZ www.netsearchsoft.com REG_SZ * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR.ORDI-XPSP2\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\3JOLLV6B.DEFAULT\HOSTPERM.1 host popup 1 www.psychodix.com ****************************************** ## Registre * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] SoftLite REG_SZ C:\DOCUME~1\Administrateur.ORDI-XPSP2\Application Data\ItchScr\idolcreative.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport ****************

philae83 · Answer

re


Note comment démarrer en mode sans échec 

https://docs.microsoft.com/en-us/?mfr=true


1* Télécharge : - CCleaner 
http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

*  Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en gras ci-dessous, (copie tout d'un trait) : 



REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoftLite"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"netsearchsoft.com REG_SZ"=-
"www.netsearchsoft.com REG_SZ"=- 
"www.psychodix.com"=-


 Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"



*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)***** 

 / désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

ItchScr

 / Assure toi d'avoir accès aux dossiers/fichiers cachés :

    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"


/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :


C:\ProgramFiles\ItchScr
C:\Documents and Settings\Administrateur.ORDI-XPSP2\Application Data\ItchScr

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Kitoku · Answer

la manip s'est bien passée.


voici le hijack:
Logfile of HijackThis v1.99.1
Scan saved at 18:08:50, on 15/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\LexmarkX84-X85\ACMonitor_X84-X85.exe
C:\PROGRA~1\LexmarkX84-X85\AcBtnMgr_X84-X85.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\BOINC\boincmgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Wireless LAN Utility\SISCFG.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\BOINC\boinc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program 

Files\BOINC\projects\setiathome.berkeley.edu\setiathome_5.15_windows_inte

lx86.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\HijackThis\abcd.exe

O2 - BHO: Adobe PDF Reader Link Helper - 

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - 

C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 

C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil 

Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program 

Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON 

Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] 

C:\PROGRA~1\LexmarkX84-X85\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] 

C:\PROGRA~1\LexmarkX84-X85\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers 

communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program 

Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [UVS10 Preload] C:\Program Files\Ulead Systems\Ulead 

VideoStudio 10\uvPL.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 

"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SoftLite] 

C:\DOCUME~1\Administrateur.ORDI-XPSP2\Application 

Data\ItchScr\idolcreative.exe
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program 

Files\3M\PSNLite\PsnLite.exe
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN 

Utility\SiWake.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
O17 - 

HKLM\System\CCS\Services\Tcpip\..\{95AE8592-66C9-4BB6-BFD5-8DD852A923A7}: 

NameServer = 212.27.54.252,212.27.53.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - 

C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - 

C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - 

C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - 

C:\Program Files\Windows Live Mail desktop\mailcomm.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - 

C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrge32 - winrge32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - 

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil 

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program 

Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program 

Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development 

a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision 

Corporation - C:\Program Files\Fichiers 

communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt 

Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero 

BackItUp\NBService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, 

Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

*************************************************

j'ai refait quelques scans, spybot me détecte des virus dans l'éditeur de registre que jai deja supprimé et qui sont revenus:

Smitfraud-C.ToolBar888 à l'emplacement:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

et un WIN32.Agent.azk sur 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\f

mais du coup j'ai trouvé un dossier udial: 
HKEY_LOCAL_MACHINE\SOFTWARE\UDIAL

est ce que je dois les supprimer, les modifier peut etre.. ?

philae83 · Answer

parfait tout ça, mais la ligne est tjs présente dans hijackthis
O4 - HKCU\..\Run: [SoftLite]

C:\DOCUME~1\Administrateur.ORDI-XPSP2\Application

Data\ItchScr\idolcreative.exe 

es tu sûr de ne pas avoir eu de soucis pour la manip

Kitoku · Answer

non pas de souci pendant la manip, j'ai juste noté que le dossier ItchScr était vide.

quant à ces hkey suspectes tu m'as pas dit si je devais les supprimer ou pas (je sais pas à trop a quoi à ca sert donc je préfère etre sure):

Smitfraud-C.ToolBar888 à l'emplacement:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR

et un WIN32.Agent.azk sur
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\f

et
HKEY_LOCAL_MACHINE\SOFTWARE\UDIAL

philae83 · Answer

tu peux supprimer, néanmoins fait une sauvegarde de ta bdr avec 
ERUNT

http://www.zebulon.fr/articles/base-de-registre-3.php#sauve

en image https://forum.pcastuces.com/default.asp#haut

à la lettre  P

* relance hijackthis et fixe cette ligne 04

Kitoku · Answer

j'ai tout supprimé, et pas de pb

sinon je n'ai plus de fenetre intempestive.
je vérifierai tout ca demain quand meme histoire d'etre sure.

jte remercie de ton aide ^^ c'est sympa!


bonne soirée

philae83 · Answer

OK

bonne soirée

Kitoku · Answer

hello!

j'ai supprimé à l'aide à l'aide de Killbox (très pratique ce programme!) le  fichier infecté zeugevi.dll dans system32 qui  refusait de se supprimer.
et j'ai effacé les dossiers SmitFraudix qui contenait un trojan également.

Voilà ce fut mes dernières opérations, maintenant mes scans sont cleans.

Je précise aussi que le trojan win32 qu'avast détectait sans cesse et qui m'ouvrait des pages internet à été viré grace a ta manip: CCleaner + changement dans l'éditeur de registre.

Jte remercie de ton aide Philae83!!
Grace à toi je peux reprendre une vie normale :D

philae83 · Answer

Bonsoir,

ravie alors, passe un bon we

[Virus] trojen win32 (udial.exe)

17 réponses

Discussions similaires

Newsletters