Infection Win32.Trojan.RX - Page 2

Résolu
Précédent
  • 1
  • 2
  1. joebarteam Messages postés 51 Statut Membre
     
    Re,

    voici les logs demandés :

    VBG

    [05/01/2007, 15:30:56] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\jean-pierre\Desktop\VirtumundoBeGone.exe" )
    [05/01/2007, 15:31:09] - Detected System Information:
    [05/01/2007, 15:31:09] - Windows Version: 5.1.2600, Service Pack 1
    [05/01/2007, 15:31:09] - Current Username: jean-pierre (Admin)
    [05/01/2007, 15:31:09] - Windows is in NORMAL mode.
    [05/01/2007, 15:31:09] - Searching for Browser Helper Objects:
    [05/01/2007, 15:31:09] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
    [05/01/2007, 15:31:09] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [05/01/2007, 15:31:09] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
    [05/01/2007, 15:31:09] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
    [05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:09] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [05/01/2007, 15:31:09] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [05/01/2007, 15:31:09] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
    [05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:09] - Checking for HKLM\...\Winlogon\Notify\geedb
    [05/01/2007, 15:31:09] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
    [05/01/2007, 15:31:09] - BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} ()
    [05/01/2007, 15:31:09] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:09] - Checking for HKLM\...\Winlogon\Notify\awvvt
    [05/01/2007, 15:31:09] - Found: HKLM\...\Winlogon\Notify\awvvt - This is probably Virtumundo.
    [05/01/2007, 15:31:10] - Assigning {85C6A8FB-5286-4D46-96B2-BE452E984C32} MSEvents Object
    [05/01/2007, 15:31:10] - BHO list has been changed! Starting over...
    [05/01/2007, 15:31:10] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
    [05/01/2007, 15:31:10] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [05/01/2007, 15:31:10] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
    [05/01/2007, 15:31:10] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
    [05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:10] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [05/01/2007, 15:31:10] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [05/01/2007, 15:31:10] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
    [05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:10] - Checking for HKLM\...\Winlogon\Notify\geedb
    [05/01/2007, 15:31:10] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
    [05/01/2007, 15:31:10] - BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} (MSEvents Object)
    [05/01/2007, 15:31:10] - ALERT: Found MSEvents Object!
    [05/01/2007, 15:31:10] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
    [05/01/2007, 15:31:10] - BHO 8: {BFBA1D3E-30F9-4965-922D-72D67616691D} ()
    [05/01/2007, 15:31:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:10] - Checking for HKLM\...\Winlogon\Notify\wvuvvsr
    [05/01/2007, 15:31:10] - Found: HKLM\...\Winlogon\Notify\wvuvvsr - This is probably Virtumundo.
    [05/01/2007, 15:31:11] - Assigning {BFBA1D3E-30F9-4965-922D-72D67616691D} MSEvents Object
    [05/01/2007, 15:31:11] - BHO list has been changed! Starting over...
    [05/01/2007, 15:31:11] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
    [05/01/2007, 15:31:11] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [05/01/2007, 15:31:11] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
    [05/01/2007, 15:31:11] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
    [05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:11] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [05/01/2007, 15:31:11] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [05/01/2007, 15:31:11] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
    [05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:11] - Checking for HKLM\...\Winlogon\Notify\geedb
    [05/01/2007, 15:31:11] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
    [05/01/2007, 15:31:11] - BHO 6: {85C6A8FB-5286-4D46-96B2-BE452E984C32} (MSEvents Object)
    [05/01/2007, 15:31:11] - ALERT: Found MSEvents Object!
    [05/01/2007, 15:31:11] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
    [05/01/2007, 15:31:11] - BHO 8: {BFBA1D3E-30F9-4965-922D-72D67616691D} (MSEvents Object)
    [05/01/2007, 15:31:11] - ALERT: Found MSEvents Object!
    [05/01/2007, 15:31:11] - BHO 9: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
    [05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:11] - Checking for HKLM\...\Winlogon\Notify\jeubdmmy
    [05/01/2007, 15:31:11] - Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
    [05/01/2007, 15:31:11] - BHO 10: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
    [05/01/2007, 15:31:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:11] - Checking for HKLM\...\Winlogon\Notify\srrwxqvf
    [05/01/2007, 15:31:11] - Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
    [05/01/2007, 15:31:11] - Finished Searching Browser Helper Objects
    [05/01/2007, 15:31:11] - *** Detected MSEvents Object
    [05/01/2007, 15:31:11] - Trying to remove MSEvents Object...
    [05/01/2007, 15:31:12] - Terminating Process: IEXPLORE.EXE
    [05/01/2007, 15:31:13] - Terminating Process: RUNDLL32.EXE
    [05/01/2007, 15:31:13] - Disabling Automatic Shell Restart
    [05/01/2007, 15:31:13] - Terminating Process: EXPLORER.EXE
    [05/01/2007, 15:31:14] - Suspending the NT Session Manager System Service
    [05/01/2007, 15:31:15] - Terminating Windows NT Logon/Logoff Manager
    [05/01/2007, 15:31:16] - Re-enabling Automatic Shell Restart
    [05/01/2007, 15:31:16] - File to disable: C:\WINDOWS\System32\awvvt.dll
    [05/01/2007, 15:31:16] - Renaming C:\WINDOWS\System32\awvvt.dll -> C:\WINDOWS\System32\awvvt.dll.vir
    [05/01/2007, 15:31:18] - ! File rename was unsucessful.
    [05/01/2007, 15:31:18] - Attempting to Deny Access to C:\WINDOWS\System32\awvvt.dll
    [05/01/2007, 15:31:18] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
    [05/01/2007, 15:31:18] - processed file: C:\WINDOWS\System32\awvvt.dll

    [05/01/2007, 15:31:19] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
    [05/01/2007, 15:31:19] - Removing HKLM\...\Browser Helper Objects\{85C6A8FB-5286-4D46-96B2-BE452E984C32}
    [05/01/2007, 15:31:19] - Removing HKCR\CLSID\{85C6A8FB-5286-4D46-96B2-BE452E984C32}
    [05/01/2007, 15:31:19] - Adding Kill Bit for ActiveX for GUID: {85C6A8FB-5286-4D46-96B2-BE452E984C32}
    [05/01/2007, 15:31:19] - Deleting ATLEvents/MSEvents Registry entries
    [05/01/2007, 15:31:19] - Removing HKLM\...\Winlogon\Notify\awvvt
    [05/01/2007, 15:31:20] - Searching for Browser Helper Objects:
    [05/01/2007, 15:31:20] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
    [05/01/2007, 15:31:20] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [05/01/2007, 15:31:20] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
    [05/01/2007, 15:31:20] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
    [05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:20] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [05/01/2007, 15:31:20] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [05/01/2007, 15:31:20] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
    [05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:20] - Checking for HKLM\...\Winlogon\Notify\geedb
    [05/01/2007, 15:31:20] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
    [05/01/2007, 15:31:20] - BHO 6: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
    [05/01/2007, 15:31:20] - BHO 7: {BFBA1D3E-30F9-4965-922D-72D67616691D} (MSEvents Object)
    [05/01/2007, 15:31:20] - ALERT: Found MSEvents Object!
    [05/01/2007, 15:31:20] - BHO 8: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
    [05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:20] - Checking for HKLM\...\Winlogon\Notify\jeubdmmy
    [05/01/2007, 15:31:20] - Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
    [05/01/2007, 15:31:20] - BHO 9: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
    [05/01/2007, 15:31:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:20] - Checking for HKLM\...\Winlogon\Notify\srrwxqvf
    [05/01/2007, 15:31:20] - Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
    [05/01/2007, 15:31:20] - Finished Searching Browser Helper Objects
    [05/01/2007, 15:31:20] - *** Detected MSEvents Object
    [05/01/2007, 15:31:20] - Trying to remove MSEvents Object...
    [05/01/2007, 15:31:21] - Terminating Process: IEXPLORE.EXE
    [05/01/2007, 15:31:21] - Terminating Process: RUNDLL32.EXE
    [05/01/2007, 15:31:22] - Disabling Automatic Shell Restart
    [05/01/2007, 15:31:22] - Terminating Process: EXPLORER.EXE
    [05/01/2007, 15:31:22] - Suspending the NT Session Manager System Service
    [05/01/2007, 15:31:22] - Terminating Windows NT Logon/Logoff Manager
    [05/01/2007, 15:31:22] - Re-enabling Automatic Shell Restart
    [05/01/2007, 15:31:22] - File to disable: C:\WINDOWS\System32\wvuvvsr.dll
    [05/01/2007, 15:31:22] - Renaming C:\WINDOWS\System32\wvuvvsr.dll -> C:\WINDOWS\System32\wvuvvsr.dll.vir
    [05/01/2007, 15:31:22] - ! File rename was unsucessful.
    [05/01/2007, 15:31:22] - Attempting to Deny Access to C:\WINDOWS\System32\wvuvvsr.dll
    [05/01/2007, 15:31:22] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
    [05/01/2007, 15:31:22] - ERROR: The system cannot find the file specified.

    [05/01/2007, 15:31:22] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
    [05/01/2007, 15:31:22] - Removing HKLM\...\Browser Helper Objects\{BFBA1D3E-30F9-4965-922D-72D67616691D}
    [05/01/2007, 15:31:22] - Removing HKCR\CLSID\{BFBA1D3E-30F9-4965-922D-72D67616691D}
    [05/01/2007, 15:31:23] - Adding Kill Bit for ActiveX for GUID: {BFBA1D3E-30F9-4965-922D-72D67616691D}
    [05/01/2007, 15:31:23] - Deleting ATLEvents/MSEvents Registry entries
    [05/01/2007, 15:31:23] - Removing HKLM\...\Winlogon\Notify\wvuvvsr
    [05/01/2007, 15:31:23] - Searching for Browser Helper Objects:
    [05/01/2007, 15:31:23] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
    [05/01/2007, 15:31:23] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [05/01/2007, 15:31:23] - BHO 3: {2265EED7-6022-4d6c-ADF2-E932FEFD433C} (H Class)
    [05/01/2007, 15:31:23] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} ()
    [05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:23] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [05/01/2007, 15:31:23] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [05/01/2007, 15:31:23] - BHO 5: {6D7526E8-2DC8-4015-9A48-BD9363877342} ()
    [05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:23] - Checking for HKLM\...\Winlogon\Notify\geedb
    [05/01/2007, 15:31:23] - Key not found: HKLM\...\Winlogon\Notify\geedb, continuing.
    [05/01/2007, 15:31:23] - BHO 6: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
    [05/01/2007, 15:31:23] - BHO 7: {C565FB4E-C0AB-487F-BA51-30E605DDD473} ()
    [05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:23] - Checking for HKLM\...\Winlogon\Notify\jeubdmmy
    [05/01/2007, 15:31:23] - Key not found: HKLM\...\Winlogon\Notify\jeubdmmy, continuing.
    [05/01/2007, 15:31:23] - BHO 8: {D651AFF4-9590-424d-BD1E-8E33E090DFB3} ()
    [05/01/2007, 15:31:23] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/01/2007, 15:31:23] - Checking for HKLM\...\Winlogon\Notify\srrwxqvf
    [05/01/2007, 15:31:24] - Key not found: HKLM\...\Winlogon\Notify\srrwxqvf, continuing.
    [05/01/2007, 15:31:24] - Finished Searching Browser Helper Objects
    [05/01/2007, 15:31:24] - Finishing up...
    [05/01/2007, 15:31:24] - A restart is needed.
    [05/01/2007, 15:31:38] - Attempting to Restart via STOP error (Blue Screen!)

    et HijackThis :

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 15:37:43, on 01/05/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\S24EvMon.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
    C:\WINDOWS\verifier.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\WINDOWS\system32\ZCfgSvc.exe
    C:\WINDOWS\System32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Microsoft SQL Server\MSSQL$PADMINISTRATOR\Binn\sqlservr.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
    C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
    C:\WINDOWS\TEMP\odgu.exe
    C:\WINDOWS\system32\tmrsrv32.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
    C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
    C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
    C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\osskhbd.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\WINDOWS\System32\sdservss.exe
    C:\WINDOWS\System32\wsmmlog.exe
    C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\pagentwd.exe
    C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
    C:\WINDOWS\System32\plsitctl.exe
    C:\WINDOWS\System32\smcntlwio.exe
    C:\Program Files\Picasa2\PicasaMediaDetector.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
    C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
    C:\PROGRA~1\Wanadoo\ComComp.exe
    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\RegSrvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\HijackThis\HiJackThis_v2.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\WINDOWS\System32\1XConfig.exe
    C:\WINDOWS\System32\MsiExec.exe
    C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe
    C:\PROGRA~1\Wanadoo\Watch.exe
    C:\WINDOWS\TEMP\ggtm.exe
    C:\WINDOWS\System32\svchost.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
    R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: H Class - {2265EED7-6022-4d6c-ADF2-E932FEFD433C} - C:\WINDOWS\System32\mn.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {6D7526E8-2DC8-4015-9A48-BD9363877342} - C:\WINDOWS\System32\geedb.dll (file missing)
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: (no name) - {C565FB4E-C0AB-487F-BA51-30E605DDD473} - C:\WINDOWS\System32\jeubdmmy.dll (file missing)
    O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\srrwxqvf.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_02\bin\jusched.exe
    O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [playclms] C:\WINDOWS\System32\umcyzsor.exe
    O4 - HKLM\..\Run: [tymsetvc] C:\WINDOWS\System32\osskhbd.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [cvmsyslpd] C:\WINDOWS\System32\sdservss.exe
    O4 - HKLM\..\Run: [winsplog] C:\WINDOWS\System32\wsmmlog.exe
    O4 - HKLM\..\Run: [dstiosys] C:\WINDOWS\System32\plsitctl.exe
    O4 - HKLM\..\Run: [sacmemds] C:\WINDOWS\System32\smcntlwio.exe
    O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\System32\aigclidh.dll",realset
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [HP Mobile Printing] C:\Program Files\Hewlett-Packard\HP Mobile Printing\HPBMOBIL.EXE
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
    O4 - HKCU\..\Run: [superproxy] C:\WINDOWS\superproxy.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
    O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_02\bin\npjpi142_02.dll
    O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
    O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
    O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_5r.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
    O23 - Service: Driver Verification (Driver Verification Service) - Unknown owner - C:\WINDOWS\verifier.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
    O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
    O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    relance vundofix et poste le log.

    Ouvre le gestionnaire des tâches (Ctrl Alt Suppr), onglet processus, cherche superproxy.exe, clic droit et terminer le processsus.
    Via l'explorateur Windows, tu supprimes : C:\WINDOWS\superproxy.exe
    Démarrer, exécuter, regedit. Tu cherches cette clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\superproxy .

    Tu la supprimes.

    Rends toi sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html

    Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\smcntlwio.exe

    Clique sur send.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Tu fais la même chose avec :
    C:\WINDOWS\System32\plsitctl.exe
    C:\WINDOWS\System32\wsmmlog.exe
    C:\WINDOWS\System32\osskhbd.exe
    C:\WINDOWS\System32\umcyzsor.exe

    @+
    0
  3. joebarteam Messages postés 51 Statut Membre
     
    re,

    Voici le log de Vundo demandé :

    VundoFix V6.3.20

    Checking Java version...

    Java version is 1.4.2.2
    Old versions of java are exploitable and should be removed.

    Scan started at 16:53:31 01/05/2007

    Listing files found while scanning....

    C:\WINDOWS\system32\awttqrs.dll
    C:\WINDOWS\System32\mpqss.bak1
    C:\WINDOWS\System32\mpqss.ini
    C:\WINDOWS\System32\ssqpm.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awttqrs.dll
    C:\WINDOWS\system32\awttqrs.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\System32\mpqss.bak1
    C:\WINDOWS\System32\mpqss.bak1 Has been deleted!

    Attempting to delete C:\WINDOWS\System32\mpqss.ini
    C:\WINDOWS\System32\mpqss.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ssqpm.dll
    C:\WINDOWS\System32\ssqpm.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awttqrs.dll
    C:\WINDOWS\system32\awttqrs.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Ouvre le gestionnaire des tâches (Ctrl Alt Suppr), onglet processus, cherche superproxy.exe, clic droit et terminer le processsus.
    Le processus superproxy.exe n'apparait pas.

    Via l'explorateur Windows, tu supprimes : C:\WINDOWS\superproxy.exe
    Impossible de trouver superproxy.exe dans le fichier.
    De plus, la fonction recherche ne fonctionne pas ou plus....

    Démarrer, exécuter, regedit. Tu cherches cette clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\superproxy .
    Clé effacée

    Rends toi sur ce site :
    http://www.virustotal.com/xhtml/virustotal_en.html

    Impossible de se rendre sur le site aussi bien avec I.E qu'avec Firefox.... Je n'ai donc pas pu scans tous les fichiers demandés...

    Désolé, que la plupart de manip' tombent en échec à chaque fois, ça devient déprimant !!!

    Merci pour l'aide toutefois,

    A+
    0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    si virustotal ne fonctionne pas (je n'arrive pas à y accéder moi non plus), essaye celui-ci :
    Vas sur le site https://virusscan.jotti.org/
    - Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : xxxxxxxxx
    - Clic sur submit toujours en haut à droite
    - Le scan va se lancer, ça va prendre un petit instant
    - En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici.
    Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

    Relance vundofix, il y a un fichier qui résiste;

    relance le plusieurs fois, jusqu'à ce qu'il te dise 'plus de fichiers infectés' ou qu'il t'ai refusé 3 fois la suppression d'un fichier.

    Après, tu remets un log Hijackthis que l'on fasse un point;
    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Oh là, Thomas ,

    Serais-tu encore en vacances ?
    Quand tu pars, n'hésite pas à nous en avertir .

    Combien de PC as-tu ?
    Dépannerais-tu les PC des copains ?

    HISTORIQUE:

    1) TOPIC - "fichier notepad32.exe" - par joebarteam
    Date: vendredi 9 février 2007 à 16:26:09
    Statut: Non résolu ==> Or, il a été résolu par Régis59 le mardi 27 mars 2007

    Pour ce topic, tu avais HijackThis v1.99.1, et Internet Explorer v6.00.

    Logfile of HijackThis v1.99.1
    Scan saved at 14:27:38, on 07/02/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


    2)TOPIC - "Plantage complet et bizarre" - par joebarteam
    Date: jeudi 19 avril 2007 à 20:05:12
    Statut: Non résolu ===> parce que tu l'as abandonné

    3)TOPIC - "Infection Win32.Trojan.RX" - par joebarteam
    Date: vendredi 27 avril 2007 à 18:54:05
    Statut: Non résolu ... et pour cause !

    Pour ce topic, tu as HijackThis v2.0.0 (BETA), et tu annonces seulement Configuration: Windows XP & Firefox 1.5.0.11 ( donc pas de IE )

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 19:55:17, on 27/04/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)


    QUESTIONS:

    1°- As-tu Internet Explorer ?

    En effet, voici les recommandations pour réussir son scanonline :

    -Selon les programmes installés sur votre ordinateur, il se peut que l'antivirus en ligne ne fonctionne pas
    • Utilisez Internet Explorer comme navigateur
    • Afin d'éviter les conflits, désactivez avant le scan votre propre antivirus
    • Désactivez aussi tout guard comme ewido guard, spybot guard, Microsoft Anti-Spywares guard et les antivirus, certains antivirus rentrent en conflit.
    • Internet Explorer doit aussi accepter les javacript et les ActiveX,

    Peut-être est-ce là, la cause de échecs avec >PANDA online et VirusTotal ?
    En effet, tu réponds ceci à Lyonnais92 au post #24 « Impossible de se rendre sur le site aussi bien avec I.E qu'avec Firefox.... Je n'ai donc pas pu scans tous les fichiers demandés... »

    Peut-être est-ce là, la cause des soucis de configuration de KERIO, <souligne>à savoir les mises à jour ?</souligne>
    Comment fais-tu les mises à jours de tes différents programmes ?

    2°- As-tu 2 antivirus ( PANDA et AVAST ) ?

    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    ------------------
    O4 - HKLM\..\Run: [PASystemTray] "C:\Program Files\Panda Software\Panda Administrator 3\Console\PASystemTray.exe"
    O23 - Service: Panda AdminSecure Administration Server (AdminServer) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\AdminServer\AdminServer.exe
    O23 - Service: Panda AdminSecure Distribution Server (PadFSvr) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\Distribution Server\PadFSvr.exe
    O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe
    O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Unknown owner - C:\Program Files\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program Files\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

    CONCLUSION

    Un petit complément d'information de Thomas ne serait pas de refus.

    Merci & bonne journée.
    Al.

    --
    Patience-Vigilance-Amour.
    0
    1. joebarteam Messages postés 51 Statut Membre
       
      Bonjour à vous,

      Je vous donnes toutes les explications.

      Serais-tu encore en vacances ?
      Quand tu pars, n'hésite pas à nous en avertir .

      Nan, nan, je ne suis pas en vacances, je suis étudiant. Mais le milieu de la semaine a était très très chargée car j'avais un rendu de projet à présenter à l'oral. Je n'avais plus de temps de venir m'occuper de la désinfection de l'ordinateur, pour cause, j'ai fais une nuit blanche...!!!

      Combien de PC as-tu ?
      Alors pour l'histoire, j'ai mon PC personnel, un PC fixe. C'est d'ailleurs celui-là qui apparait dans le post "fichier notepad32.exe" résolu grâce à l'aide de Régis59.

      Et c'est le même PC qui apparait dans le post "Plantage complet et bizarre". Post, que j'ai "délaissé" puisque l'on me conseil de réparer/réinstaller Windows. Chose que je ne peux pas faire actuellement car je n'ai pas ces CD d'installation. Car, aux risques de choquer/énerver des gens, je n'utilise pas une version officielle de Windows vu que je n'avais pas les moyens à l'époque de me la procurer.

      Par conséquent, vu que mon PC fixe a Windows de casser, j'ai récupérer le PC portable de mon frère. Lorsqu'il l'avait formaté la dernière fois, je lui avais installer Ad-Aware, Avast!, AVG, CCleaner afin qu'il fasse des nettoyages toutes les 1-2semaines. Chose qu'il n'a certainement du jamais faire car quand je l'ai récupérer il y a deux semaines, j'ai était infecté et depuis tout s'empire, rien de marche...


      QUESTIONS:

      1°- As-tu Internet Explorer ?

      Oui, j'ai I.E.

      En effet, voici les recommandations pour réussir son scanonline :

      -Selon les programmes installés sur votre ordinateur, il se peut que l'antivirus en ligne ne fonctionne pas
      • Utilisez Internet Explorer comme navigateur
      • Afin d'éviter les conflits, désactivez avant le scan votre propre antivirus
      • Désactivez aussi tout guard comme ewido guard, spybot guard, Microsoft Anti-Spywares guard et les antivirus, certains antivirus rentrent en conflit.
      • Internet Explorer doit aussi accepter les javacript et les ActiveX,

      J'avais pourtant suivi la procédure et lu les tutoriels afin de faire bien les manip'. Vu que je suis un peu une quiche en informatique, j'évites de faire mon malin et de ne pas suivre les conseils donnés.


      2°- As-tu 2 antivirus ( PANDA et AVAST ) ?
      J'ai effectivement ces deux antivirus d'installer. Je sais d'Avast! fonctionne, par contre pour PANDA je ne sais pas trop. Je le trouve bizarre ce logiciel !! lol.


      CONCLUSION

      Un petit complément d'information de Thomas ne serait pas de refus.

      Je vous comprends bien, excusez-moi de n'avoir peut-être pas était assez explicite.

      Sinon, pour ce qui est des nouvelles de la désinfection...
      Eh bien, c'est la cata...

      Je n'ai pas réussi à faire la manip' demandé par Lyonnais92.
      J'ai rallumé le pc,hors connexion, hier pour pouvoir regarder un film, le pc à planter et n'a jamais réussi à me lancer le film....
      J'ai donc du l'éteindre depuis le bouton de mise sous tension. Bref,aujourd'hui je le rallume, arrivé sur l'écran du choix d'utilisateur, je le reboot tout de suite.
      Une fois rallumé, je lance la section administrateur, le bureau apparait puis me renvoie immédiatement sur l'écran de sélection de la section...
      Je rééssaye, même résultat.
      Finalement, j'ai ouvert la section Utilisateur afin de lancer des scans avec Ad-Aware (qui scan actuellement), AVG et Avast!....

      Autre problème, lorsque je lance Mozilla Firefox depuis le portable, la page d'acceuil me lance sur Google USA. C'est a dire que tout les sites français comme "Comment Ca Marche", "Orange" pour ma messagerie, etc...sont presques introuvables, et lorsque je les trouvent, impossible d'y accéder, je tombe sur une page étrange, sorte de moteur de recherches...
      J'ai vérifié les options du navigateur, remplacer la page par défault, la page d'ouverture, etc par www.google.fr, mais lorsque je relance, rien à faire la page de Google usa revient...

      Donc voilà où en sont les problèmes. Sachez aussi que je vous ecrit actuellement depuis mon pc fixe, vu que je n'accepte plus à la session Administrateur du pc portable...

      Voila, en tout cas je vous souhaite bon courage, car mon problème doit etre un véritable casse-tête pour vous...

      En tout cas merci de votre aide et de votre dextérité!!!

      a+
      0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    1) tu relances vundofix (car je crois qu'il en reste encore).

    Tu postes le log.

    2) Tu remets un log HijackThis.

    3) Prends connaissance du contenu le lien suivant:
    http://www.f-secure.com/products/license-terms/eult_fra.pdf
    Tu as donc pris connaissance et accepté les conditions d'utilisation du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
    Maintenant fais un clic droit sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Fais l'extraction dans un dossier propre à lui
    Ensuite double clique sur navilog1.bat
    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    ne fais pas le choix 2,3 ou 4 sans notre avis/accord
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    @+

    0
  8. joebarteam Messages postés 51 Statut Membre
     
    Bonjour,

    Un message juste pour vous informer que VundoFix est entrain de scanner depuis lundi...

    Je post tous les rapports des les opérations terminés.

    merci

    a+
    0
  9. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour

    Ce n'est pas normal qu'il faille aussi longtemps pour une analyse VundoFix. Stoppe cette analyse.
    Mais qu'as-tu fait sur ce PC entre la demande de Lyonnais92 du vendredi 4 mai 2007 à 18:32:28 ( ==> Bonjour, 1) tu relances vundofix) , et 3 jours plus tard quand tu as lancé VundoFix ( ..VundoFix est entrain de scanner depuis lundi... ) ?

    Tu ne peux avoir deux anti-virus actifs sur un même PC !
    Si tu as payé "Panda Software\Panda Administrator 3", garde-le et supprime Avast.
    Dans le cas contraire, garde Avast, et supprime Panda Software complètement.

    Maintenant, je ne vois pas d'autre façon que de relancer les procédures:

    1)- •- Télécharge « clean.zip »
    http://www.malekal.com/download/clean.zip
    •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
    < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >

    2)- Télécharge SDFix sur ton bureau
    Le lien de sauvetage devient : < http://downloads.andymanchesta.com/RemovalTools/SDFix.exe >

    3)- Redémarre en mode sans échec.
    Tutos: Comment faire pour... à la lettre D
    < https://forum.pcastuces.com/default.asp >

    ( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).

    4)- Analyses

    •- Ouvre le dossier « clean » qui se trouve sur ton bureau.
    - Double-clic sur « clean.cmd ».
    Une fenêtre noire va apparaître, suis les consignes
    < http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
    Choisis l’option 2.
    Clean va travailler. Il va produire un rapport.

    •- Double-clique sur "RunThis.bat" de SDFix
    Tape Y pour lancer le script.
    Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
    Presse une touche pour redémarrer en mode normal
    Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

    5) Rapports:
    - Poste qui se trouve ici C:\rapport_clean.txt. (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
    - Ouvre le "dossier SDFix" et copie/colle ici le contenu du fichier "Report.txt"

    Ensuite, Fais ces deux analyses SVP:

    1°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
    < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >

    Double clique combofix.exe et suis les invites.
    Lorsque le scan sera complété, un rapport apparaîtra.
    Copie/colle ce rapport dans ta prochaine réponse

    2°- Télécharge SmitfraudFix < http://siri.urz.free.fr/Fix/SmitfraudFix.exe >
    * Installe le à la racine de C

    * double clic sur l'exe pour le décompresser et lancer le fix.
    Utilisation ----- option 1 - Recherche :
    * Double clique sur smitfraudfix.cmd * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
    * Poste le rapport ici

    NOTE: ( process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. )

    Relance ensuite ( après avoir posté le rapport de l'option 1 ) SmitfraudFix en mode sans échec, et choisis l'option 2.
    Poste le rapport ici.

    Fais ça dans l'immédiat; on poursuivra avec NaviFix/navilog ( nouvelle version ) ensuite; et on relancera VundoFix.
    Ne fais rien d'autre sur ce PC SVP.

    Merci
    Al.
    0
  10. Jack SPARROW
     
    Même Pb Windows Sécurité Center :" Win32.Trojan.RX " sur le Pc de mon père ( QQun a t'il une solution ... )

    Analyse Scan Online Bitdefender en cours...
    0
  11. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour Jack SPARROW

    Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
    Procède comme ceci :
    < http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm >
    ou ainsi < http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm >

    Guide du forum < ccmforum >

    Inscription CCM < inscription > ; en effet, pour contacter personnellement les seuls membres inscrits sur ce ForumCCM, il faut être également soi-même inscrit !

    Al.
    0
  12. joebarteam Messages postés 51 Statut Membre
     
    bonjour,

    je tiens à vous informer qu'un ami m'a proposé de formater l'ordinateur portable.

    Je vous remercie quand même pour toute l'aide et le temps que vous avez passé.

    Merci beaucoup

    a+
    0
  13. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir ,

    Je suis content pour toi.
    Accepterais-tu de faire ceci, SVP ? Merci à toi.
    C'est très rapide.

    Télécharge DiagHelp.zip sur ton bureau < http://www.malekal.com/download/DiagHelp.zip >
    Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
    1- Un nouveau dossier « chercher » va être créé "DiagHelp"
    2- Ouvre le et double-clique sur "go.cmd" (le ".cmd" peut ne pas apparaître) < http://img149.imageshack.us/img149/4927/screenshot173gl8.gif >
    3- Une fenêtre va s'ouvrir, choisis l'option 1
    4- L 'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
    5- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.. Ce dernier se trouve sur C:\resultat.txt

    -Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela :
    -- Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout
    -- A nouveau menu Edition / copier
    -- Dans un nouveau message ici, faire un clic droit / coller

    Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

    Bonne soirée
    Al.
    0
  14. joebarteam Messages postés 51 Statut Membre
     
    bonsoir,

    je viens de voir cotre dernier message . Désolé de cette disparition mais vu que j'ai mon diplome dans un petit mois, je suis en grosse phase de préparation. Bref, toujours est-il que je n'ai plus le pc infecté...

    Bonne continuation,

    A+
    0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    merci d'être venu nous le dire.
    @+
    0
  16. ousmane
     
    bon mon ami je vous conseille bien de desinstaller avast et metre kaspersky.cet antivirus bien qu'il ne soit 100 pour 100 puissant est d'une efficacite surprennante.
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour ousmane,

    avec un oubli de ta part : Kaspersky est payant et pas avst.
    @+
    0
  18. alr
     
    salut en effet j'avais egalemet un virus ttes les 10 min...j ai essaye de les elever a la main etc...bref...echec..
    j ai donc essaye votre methode ( SDFIX et cleaner)...et voici mon . LOG..Ca a l'air regle parcontre si j'ai bien compris j'a encore un ROOTKIT au cul ?! brefff...je vais me demerder....merci les mecs!!!

    SDFix: Version 1.101

    Run by alr on 02/09/2007 at 05:03

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Name:
    NtmlSvc
    runtime
    xpdx

    ImagePath:
    %SystemRoot%\System32\svchost.exe -k netsvcs
    \??\C:\WINDOWS\System32\drivers\runtime.sys
    \??\C:\WINDOWS\system32\xpdx.sys

    NtmlSvc - Deleted
    runtime - Deleted
    xpdx - Deleted

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\b122.exe - Deleted
    C:\WINDOWS\retadpu1000520.exe - Deleted
    C:\WINDOWS\system32\4_exception.nls - Deleted
    C:\WINDOWS\Temp\startdrv.exe - Deleted
    C:\WINDOWS\system32\xpdx.sys - Deleted

    Folder C:\Temp\fse - Removed

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    [COLOR=RED][B]Rootkit runtime2 Found, Use a Rootkit scanner ![/COLOR][/B]

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Disabled:iTunes"
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"
    "C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"="C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2"
    "C:\\WINDOWS\\System32\\PnkBstrA.exe"="C:\\WINDOWS\\System32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
    "C:\\WINDOWS\\System32\\PnkBstrB.exe"="C:\\WINDOWS\\System32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
    "C:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars Beta 2\\etqw.exe"="C:\\Program Files\\id Software\\Enemy Territory - QUAKE Wars Beta 2\\etqw.exe:*:Enabled:Enemy Territory - QUAKE Wars(TM) Beta 2"
    "C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

    Remaining Files:
    ---------------

    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    C:\Program Files\Trend Micro\Internet Security 14\Quarantine\2.tmp

    Finished
    0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
    Procèdes comme ceci :
    http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

    A bientôt
    0
  20. IZL
     
    je te donne une expérience que j'ai fais moi même!!!
    j'avais WINDOWS XP PACK2 , j'avais se problème là de Trojan RX , bah je suis allez chez un ami il ma donné Son WINDOWS du programme File , je l'es remplacé par le mien et depuis plus entendu parlé de se Trojan!
    0
Précédent
  • 1
  • 2