Sujet Précédent Sujet Suivant

Dizaines de troyens, Virtumonde

Fermé
natjyconnaisrien - 9 juil. 2007 à 20:56
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 12 juil. 2007 à 10:42
Bonjour,

Gros gros problème. des dizaines de chevaux de troie m'arrivent...(avertie par Avast)
Dès que je vais sur un site web quelqonque (celui-ci par exemple) une autre adresse s'idique à la place de celle que j'ai tapée (celldorado.com ou amanea.com par exemple).

A chaque scan complet avast de nouveaux chevaux de troie sont détectés, scan adaware trouve des infections, scan spybot en trouve aussi mais n'arrive pas à en supprimer certaines dont Virtumonde surtout (car il serait enregistré dans la mémoire).

Voici le scan Hijack This, Scan "clean" (que j'ai effectué en lisant le forum, consil donné pour un cas similaire), et un scan bitdefender (effectué après le scan clean)

Merci


Logfile of HijackThis v1.99.1
Scan saved at 20:28:43, on 9/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\stsystra.exe
C:\Program Files\Dell AIO 810\dlcgmon.exe
C:\WINDOWS\system32\InstallHardware.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dlcgcoms.exe
C:\Program Files\DAP\DAP.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [dlcgmon.exe] "C:\Program Files\Dell AIO 810\dlcgmon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InstallHardware] C:\WINDOWS\system32\InstallHardware.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\aktvjgjb.dll",forkonce
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - https://www.songtexte.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: dlcg_device - - C:\WINDOWS\system32\dlcgcoms.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec lun. 09/07/2007 a 20:02:08,54

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\GainSettings.exe
tentative de suppression de C:\WINDOWS\Temp\win????.tmp.exe

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


BitDefender Online Scanner



Rapport d'analyse généré à: Mon, Jul 09, 2007 - 20:18:47





Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;







Statistiques

Temps
00:11:50

Fichiers
104120

Directoires
3576

Secteurs de boot
3

Archives
779

Paquets programmes
6085




Résultats

Virus identifiés
6

Fichiers infectés
6

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
4




Info sur les moteurs

Définition virus
637897

Version des moteurs
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
6

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\RECYCLER\S-1-5-21-842925246-220523388-839522115-1004\Dc31.exe=>(RAR Sfx o)=>keygen.exe
Infecté par: Trojan.Downloader.LoadAdv.B

C:\RECYCLER\S-1-5-21-842925246-220523388-839522115-1004\Dc31.exe=>(RAR Sfx o)=>keygen.exe
Echec de la désinfection

C:\RECYCLER\S-1-5-21-842925246-220523388-839522115-1004\Dc31.exe=>(RAR Sfx o)=>keygen.exe
Supprimé

C:\RECYCLER\S-1-5-21-842925246-220523388-839522115-1004\Dc31.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\RECYCLER\S-1-5-21-842925246-220523388-839522115-1004\Dc31.exe=>(RAR Sfx o)=>serial.exe
Infecté par: Trojan.Dropper.IG

C:\RECYCLER\S-1-5-21-842925246-220523388-839522115-1004\Dc31.exe=>(RAR Sfx o)=>serial.exe
Echec de la désinfection

C:\RECYCLER\S-1-5-21-842925246-220523388-839522115-1004\Dc31.exe=>(RAR Sfx o)=>serial.exe
Supprimé

C:\RECYCLER\S-1-5-21-842925246-220523388-839522115-1004\Dc31.exe=>(RAR Sfx o)
Echec de la mise à jour

C:\System Volume Information\_restore{F545FF37-5F36-46E3-869F-1C8E0A7DA2B1}\RP60\A0005839.exe
Infecté par: Trojan.Clicker.MNB

C:\System Volume Information\_restore{F545FF37-5F36-46E3-869F-1C8E0A7DA2B1}\RP60\A0005839.exe
Echec de la désinfection

C:\System Volume Information\_restore{F545FF37-5F36-46E3-869F-1C8E0A7DA2B1}\RP60\A0005839.exe
Supprimé

C:\System Volume Information\_restore{F545FF37-5F36-46E3-869F-1C8E0A7DA2B1}\RP60\A0005840.dll
Infecté par: Trojan.Juan.H

C:\System Volume Information\_restore{F545FF37-5F36-46E3-869F-1C8E0A7DA2B1}\RP60\A0005840.dll
Echec de la désinfection

C:\System Volume Information\_restore{F545FF37-5F36-46E3-869F-1C8E0A7DA2B1}\RP60\A0005840.dll
Supprimé

C:\WINDOWS\system32\aktvjgjb.dll
Infecté par: Trojan.Vundo.CG

C:\WINDOWS\system32\aktvjgjb.dll
Echec de la désinfection

C:\WINDOWS\system32\aktvjgjb.dll
Echec de la suppression

C:\WINDOWS\system32\ljjkjjj.dll
Détecté avec: Adware.Virtumonde.GFH

C:\WINDOWS\system32\ljjkjjj.dll
Echec de la désinfection

C:\WINDOWS\system32\ljjkjjj.dll
Echec de la suppression

5 réponses

Réponse 1 / 5
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
9 juil. 2007 à 21:04
télécharger sur le bureau
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1

un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.



= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= colle le contenu du rapport de navilog (qui est en option2)
----------------------

lance cwshredder (faire fix)

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/27497.html
---------------


utilise aussi pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare erreurs) sans la barre yahoo

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
-----------------------
desactiver la restauration dans DEMARRER puis TOUS LES PROG puis ACCESOIRE puis OUTILS SYSTEME puis DANS RESTAURATION SYSTEME aller dans parametre et desactiver la restauration



scan avec vundo

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.


puis :




virtumondebegone

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe


puis Symantec Vundo Remove Tool

https://www.broadcom.com/support/security-center


et


https://www.broadcom.com/support/security-center


ensuite:

scan avec des antiespions (en mode sans échec):

spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

AD AWARE:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html
---------------------

colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

------------

recolle un rapport hijackthis
0
Réponse 2 / 5
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
9 juil. 2007 à 21:06
et reactive la restauration systeme a la fin
0
natjyconnaisrien
10 juil. 2007 à 01:55
Voilà...tout est fait...
Mais Avast vient encore de me détecter un cheval de Troie à l'instant.

Premièrement les rapports navilog:
Option 1


Search Navipromo version 2.0.5 commencé le mar. 10/07/2007 à 0:41:54,12

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\MAITRE\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/10/07 at 00:41:54.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .......................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/10/07 at 00:43:16 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\tttss.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\tttss.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :


*** Analyse Terminé le mar. 10/07/2007 à 0:43:22,42 ***


Option 2
Clean Navipromo version 2.0.5 commencé le mar. 10/07/2007 à 0:44:47,36

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight



*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\MAITRE\Application Data ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\MAITRE\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\tttss.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\tttss.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :


*** Nettoyage termine le mar. 10/07/2007 à 0:47:02,46 ***



Puis j'ai lancé toutes les apllications que tu m'as dit.
J'ai dsactivé la restauration système (je te fais confiance)

Scan avec Vundo (il y avait une application qu'il n'arrivait pas à m'enlever puis au redémarrage il a pu me l'enlever apparemment, c'est c:\windows\system 32\ljjkjjj.dll

Scan avec Virtumundo:


[07/10/2007, 1:05:59] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\MAITRE\Mes documents\My Completed Downloads\VirtumundoBeGone.exe" )
[07/10/2007, 1:06:13] - Detected System Information:
[07/10/2007, 1:06:13] - Windows Version: 5.1.2600, Service Pack 2
[07/10/2007, 1:06:13] - Current Username: MAITRE (Admin)
[07/10/2007, 1:06:13] - Windows is in NORMAL mode.
[07/10/2007, 1:06:13] - Searching for Browser Helper Objects:
[07/10/2007, 1:06:13] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[07/10/2007, 1:06:13] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[07/10/2007, 1:06:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/10/2007, 1:06:13] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[07/10/2007, 1:06:13] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[07/10/2007, 1:06:13] - BHO 3: {6DFB6068-753D-428D-AC7B-AA270845A4E5} ()
[07/10/2007, 1:06:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/10/2007, 1:06:13] - Checking for HKLM\...\Winlogon\Notify\ssttt
[07/10/2007, 1:06:13] - Key not found: HKLM\...\Winlogon\Notify\ssttt, continuing.
[07/10/2007, 1:06:13] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/10/2007, 1:06:13] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[07/10/2007, 1:06:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/10/2007, 1:06:13] - No filename found. Continuing.
[07/10/2007, 1:06:13] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[07/10/2007, 1:06:13] - BHO 7: {930D35D2-094D-41B9-8E89-D1B76F2C6E97} ()
[07/10/2007, 1:06:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/10/2007, 1:06:13] - Checking for HKLM\...\Winlogon\Notify\ljjkjjj
[07/10/2007, 1:06:13] - Key not found: HKLM\...\Winlogon\Notify\ljjkjjj, continuing.
[07/10/2007, 1:06:14] - Finished Searching Browser Helper Objects
[07/10/2007, 1:06:14] - Finishing up...
[07/10/2007, 1:06:14] - Nothing found! Exiting...

Il y avait 2 liens
Scan avec Vundo:



[07/10/2007, 1:05:59] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\MAITRE\Mes documents\My Completed Downloads\VirtumundoBeGone.exe" )
[07/10/2007, 1:06:13] - Detected System Information:
[07/10/2007, 1:06:13] - Windows Version: 5.1.2600, Service Pack 2
[07/10/2007, 1:06:13] - Current Username: MAITRE (Admin)
[07/10/2007, 1:06:13] - Windows is in NORMAL mode.
[07/10/2007, 1:06:13] - Searching for Browser Helper Objects:
[07/10/2007, 1:06:13] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[07/10/2007, 1:06:13] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[07/10/2007, 1:06:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/10/2007, 1:06:13] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[07/10/2007, 1:06:13] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[07/10/2007, 1:06:13] - BHO 3: {6DFB6068-753D-428D-AC7B-AA270845A4E5} ()
[07/10/2007, 1:06:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/10/2007, 1:06:13] - Checking for HKLM\...\Winlogon\Notify\ssttt
[07/10/2007, 1:06:13] - Key not found: HKLM\...\Winlogon\Notify\ssttt, continuing.
[07/10/2007, 1:06:13] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/10/2007, 1:06:13] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[07/10/2007, 1:06:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/10/2007, 1:06:13] - No filename found. Continuing.
[07/10/2007, 1:06:13] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[07/10/2007, 1:06:13] - BHO 7: {930D35D2-094D-41B9-8E89-D1B76F2C6E97} ()
[07/10/2007, 1:06:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/10/2007, 1:06:13] - Checking for HKLM\...\Winlogon\Notify\ljjkjjj
[07/10/2007, 1:06:13] - Key not found: HKLM\...\Winlogon\Notify\ljjkjjj, continuing.
[07/10/2007, 1:06:14] - Finished Searching Browser Helper Objects
[07/10/2007, 1:06:14] - Finishing up...
[07/10/2007, 1:06:14] - Nothing found! Exiting...


Puis Symantec

Puis securityresponse

Puis adaware en sans echec (trouvé 2 infections)
Puis spybot: infection: Smitfraud.C.Toolbar888 (HKey_local_machine\software\microsoft\MSSMGR)

Et Voici le rapport Bit defender

BitDefender Online Scanner



Rapport d'analyse généré à: Tue, Jul 10, 2007 - 01:36:45





Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;







Statistiques

Temps
00:09:50

Fichiers
85161

Directoires
3128

Secteurs de boot
3

Archives
745

Paquets programmes
5900




Résultats

Virus identifiés
2

Fichiers infectés
2

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
2




Info sur les moteurs

Définition virus
637915

Version des moteurs
AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
6

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\VundoFix Backups\aktvjgjb.dll.bad
Infecté par: Trojan.Vundo.CG

C:\VundoFix Backups\aktvjgjb.dll.bad
Echec de la désinfection

C:\VundoFix Backups\aktvjgjb.dll.bad
Supprimé

C:\VundoFix Backups\ljjkjjj.dll.bad
Détecté avec: Adware.Virtumonde.GFH

C:\VundoFix Backups\ljjkjjj.dll.bad
Echec de la désinfection

C:\VundoFix Backups\ljjkjjj.dll.bad
Supprimé



Et enfin un dernier hijack this



Logfile of HijackThis v1.99.1
Scan saved at 1:38:33, on 10/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\stsystra.exe
C:\Program Files\Dell AIO 810\dlcgmon.exe
C:\WINDOWS\system32\InstallHardware.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\DAP\DAP.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dlcgcoms.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6DFB6068-753D-428D-AC7B-AA270845A4E5} - C:\WINDOWS\system32\ssttt.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {930D35D2-094D-41B9-8E89-D1B76F2C6E97} - C:\WINDOWS\system32\ljjkjjj.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [dlcgmon.exe] "C:\Program Files\Dell AIO 810\dlcgmon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InstallHardware] C:\WINDOWS\system32\InstallHardware.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - https://www.songtexte.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wineij32 - C:\WINDOWS\SYSTEM32\wineij32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: dlcg_device - - C:\WINDOWS\system32\dlcgcoms.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Un tout grand merci pour ton aide.
Tu crois que ca va aller ou c'et envore infecté?
Bonne nuit

Merci d'avance pour ta réponse

Nat
0
Réponse 3 / 5
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2007 à 13:33
O2 - BHO: (no name) - {6DFB6068-753D-428D-AC7B-AA270845A4E5} - C:\WINDOWS\system32\ssttt.dll (file missing)
O2 - BHO: (no name) - {930D35D2-094D-41B9-8E89-D1B76F2C6E97} - C:\WINDOWS\system32\ljjkjjj.dll (file missing)

tu peux les fixer c'etait des infection vundo qui ont été supprimés

-------------
Voilà...tout est fait...
Mais Avast vient encore de me détecter un cheval de Troie à l'instant.

quand tu dis ca c'est apres le scan en ligne? qu'a trouvé avast?
encore des pubs? des alertes?

---------
lance a squared et avg si tu as un troyen qui a été signalé

A SQUARED specialisé dans les troyens
https://www.01net.com/telecharger/

et avg antispyware

AVG antispyxare

https://www.01net.com/telecharger/

Tuto :
https://www.01net.com/telecharger/

->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici




-------------------


-------------------


-------------------




il y a encore ca qui me gene:


O20 - Winlogon Notify: wineij32 - C:\WINDOWS\SYSTEM32\wineij32.dll






Ouvre le bloc-note et copie/colle le contenu du cadre ci-dessous :




REGEDIT4
[- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wineij32]





- Une fois le contenu collé dans le bloc-note
- Enregistre le fichier (Menu fichier puis enregistrer-sous) sous le nom fix.reg

télécharges et installes :

kill box
https://www.bleepingcomputer.com/download/linux/


aide kill box
http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm


- Redémarre en mode sans échec, si tu sais pas comment on fait lis ceci

- Double-clic sur fix.reg

Ouvres killbox
- Sélectionne "delete on reboot"
- Clique sur le dossier jaune à droite et sélectionne le fichier : C:\WINDOWS\System32\wineij32.dll
- Clique sur la croix rouge et et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'Aide killbox

Vérifie que le fichier C:\WINDOWS\System32\wineij32.dll n'est plus présent.

---------
lance sophos antirootkit

http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html



----------

recolle un rapport hijackthis
0
natjyconnaisrien
10 juil. 2007 à 20:31
Bonjour,

J'ai relancé Avast et adaware, plus de problèmes détectés.

Voici le rapport Asquared

Version - a-squared Free 3.0
Dernière mise à jour: 10/07/2007 19:13:29

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\, I:\
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 10/07/2007 19:14:21

Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Download Accelerator Plus (DAP) --> Changed Détecter: Trace.Registry.Warez P2P Faster Accelerator
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Download Accelerator Plus (DAP) --> SlowInfoCache Détecter: Trace.Registry.Warez P2P Faster Accelerator
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run --> DownloadAccelerator Détecter: Trace.Registry.Timbuktu Pro
C:\Documents and Settings\MAITRE\Cookies\maitre@bluestreak[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\MAITRE\Cookies\maitre@doubleclick[1].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\MAITRE\Cookies\maitre@weborama[2].txt Détecter: Trace.TrackingCookie
C:\Documents and Settings\MAITRE\Local Settings\Temp\nsmA.tmp Détecter: Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\MAITRE\Mes documents\My Completed Downloads\clean.zip/pskill.exe Détecter: Riskware.RiskTool.Win32.PsKill.k

Scanné

Fichiers: 4738
Traces: 279586
Cookies: 25
Processus: 43

Trouver

Fichiers: 2
Traces: 3
Cookies: 3
Processus: 0
Clés de Registre: 0

Fin du Scan: 10/07/2007 19:16:08
Temps du Scan: 0:01:47

C:\Documents and Settings\MAITRE\Mes documents\My Completed Downloads\clean.zip/pskill.exe Quarantaine Riskware.RiskTool.Win32.PsKill.k
C:\Documents and Settings\MAITRE\Local Settings\Temp\nsmA.tmp Quarantaine Riskware.RiskTool.Win32.Processor.20
C:\Documents and Settings\MAITRE\Cookies\maitre@bluestreak[2].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\MAITRE\Cookies\maitre@doubleclick[1].txt Quarantaine Trace.TrackingCookie
C:\Documents and Settings\MAITRE\Cookies\maitre@weborama[2].txt Quarantaine Trace.TrackingCookie
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run --> DownloadAccelerator Quarantaine Trace.Registry.Timbuktu Pro
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Download Accelerator Plus (DAP) --> Changed Quarantaine Trace.Registry.Warez P2P Faster Accelerator
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Download Accelerator Plus (DAP) --> SlowInfoCache Quarantaine Trace.Registry.Warez P2P Faster Accelerator

Quarantaine

Fichiers: 2
Traces: 3
Cookies: 3


Voici le rapport AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 19:37:08 10/07/2007

+ Résultat de l'analyse:



C:\Documents and Settings\MAITRE\Cookies\maitre@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\MAITRE\Cookies\maitre@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\MAITRE\Cookies\maitre@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\MAITRE\Cookies\maitre@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\MAITRE\Cookies\maitre@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\WINDOWS\system32\wineij32.dll -> Trojan.Dialer.qn : Nettoyé.


Fin du rapport


Il a trouvé le fichier infecté, c'est bien celui qui t'inquiétait dans system32.
Il a demander à redémarrer pour l'enlever mais malgré plusieurs redémarrages, il n'est pas arraivé à l'enlever.

Ensuite, j'ai copié-collé ta commande au bloc-notes.
J'ai redémarré en sans echec.
J'ai double-cliqué sur fix.reg, un message est apparu me demandant si je voulais l'ajouter au registre.
J'ai cliqué oui

Ensuite je l'ai enlevé avec killbox.

Au redémarrage, j'ai refait un scan AVG.
Voici le 2ème rapport:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 20:09:45 10/07/2007

+ Résultat de l'analyse:



C:\Documents and Settings\MAITRE\Cookies\maitre@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\!KillBox\wineij32.dll -> Trojan.Dialer.qn : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport


J'ai ensuite vérifié et le fichier en question n'est plus sur mon PC apparemment.
Dernier scan Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 20:30:00, on 10/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\stsystra.exe
C:\Program Files\Dell AIO 810\dlcgmon.exe
C:\WINDOWS\system32\InstallHardware.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\DAP\DAP.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dlcgcoms.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6DFB6068-753D-428D-AC7B-AA270845A4E5} - C:\WINDOWS\system32\ssttt.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {930D35D2-094D-41B9-8E89-D1B76F2C6E97} - C:\WINDOWS\system32\ljjkjjj.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DLCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [dlcgmon.exe] "C:\Program Files\Dell AIO 810\dlcgmon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InstallHardware] C:\WINDOWS\system32\InstallHardware.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate- Activex Control) - https://www.songtexte.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wineij32 - wineij32.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: dlcg_device - - C:\WINDOWS\system32\dlcgcoms.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Voilà, dis moi si tu soupçonnes encore quelque chose.
Quant à moi, j'ouvre l'oeil, je scanne et rescanne et te tiens au courant.

Grand grand merci pour tout, je te suis très reconnaissante.
Nat
0
Réponse 4 / 5
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2007 à 21:34
c'est bon et bravo pour ta patience car tu as passé beaucoup de temps pour reparer!

---------

tu peux supprimer avg antispyware, vundofix , navilog,









-----------
sinon

pour protéger gratos ton ordi



mettre un antivirus et un seul

AVAST en français ou ANTIVIR (en anglais mais très efficace)

-------------
des anti-espions:

AD AWARE + SPYBOT + WINDOWS DEFENDER qui protege en temps reel (en anglais mais agit seul...)

+/-

SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...


spywareblaster immunise notamment contre vundo que tu avais....

--------
un pare feu :
activer
celui de Windows
ou mieux KERIO
ou JETICO ou
ZONE ALARM (mettre que le parefeu gratuit)

https://www.01net.com/telecharger/windows/Securite/firewall/fiches/31528.html
-----------

CCLEANER pour effacer les traces de surf
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2007 à 21:35
tu peux virer kill box
0
natjyconnaisrien
12 juil. 2007 à 10:13
Et bien un grand merci à toi. On dirait que tout est clean.
Merci à toi pour ta patience et le temps passé.
Je supprime bien les programmes que tu m'as indiqué.

Par contre je n'ai bien qu'un seul antivirus Avast, qui tourne continuellement.
Et je fais des scans complets après chaque téléchargement ou au moins 1 ou 2 fois par semaine.
Je fais régulièrement des scans adaware et spybot depuis longemps.
Mon pare -feu est activé sans exceptions.

Mais tout cela n'empêche pas que je me ramasse de méchants virus très régulièrement.
Il y a un mois par exemple, mon pc se coupait une minute après que je l'ai démarré. windows fermait pour protéger mon pc d'une menace. Imossible de le rallumer + d'une minute, donc de détecter l'infection.
J'au carrément dû reformater le disque dur!

J'ai eu également des vers via msn, etc etc

Heureusement je peux toujours trouver des personnes très sympas et très compétentes ici!
Et puis, grâce à vous, j'apprend un peu + chaque jour!
Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
12 juil. 2007 à 10:42
mets spyware blaster et windows defender

pour avast je prefere antivir qui est en anglais mais plus performant


sinon dans les options de msn il faut que tu fasse analyser les fichiers telechargés avec avast ce qui limitera les infections



bonne continuation
0

Discussions similaires

Devinette mathématique
Jc -
Pierr10 -

7 réponses
Virtumonde.dll détècté avec spybot ??
Banban la tulipe -
dom -

18 réponses
Virtumonde.Dll
speedyyamas12 -
jlpjlp -

22 réponses
Virtumonde.dll/.sci virus ?
core_quad -
scaravenger -

4 réponses
Troyens en pagaille qui reviennent
Julien -
Le sioux -

91 réponses