Sujet Précédent Sujet Suivant

8wd56u.exe????

Bennyweb Messages postés 258 Statut Membre -  
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjojur à tous,
je viens de recevoir une attaque successives de 2 virus dont un a nécessité une réparation spéciale de kaspersky avec redémarrage du pc ! cela semble tourner mais

-présence d'un halo rose bas gauche de l'écran ( le e d'explorer en bas de page est rosé.)
- un processus dans le gestionnaire me semble suspect??? 8wd56u.exe
Quid?
Quelqu'un peut-il m'aider,
je joins Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 16:49:35, on 07/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\8wd56u.exe
C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\PhotoWise\quicklnk.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {520EEF75-40F4-4632-B552-CF6E815ED402} - C:\WINDOWS\system32\CDDBUISon.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {CC35F779-8787-4568-88AA-4A97B5BC7B50} - c:\windows\system32\mocogqip.dll
O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O4 - Startup: QuickLink.lnk = C:\Program Files\PhotoWise\quicklnk.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Update_0707_KB77012.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

Grand merci d'avance à tous!!!!
Benny

83 réponses

Réponse 1 / 83
eclypse16 Messages postés 162 Statut Membre
 
Salut

Reouvre hijackthis et coche 
O2 - BHO: (no name) - {520EEF75-40F4-4632-B552-CF6E815ED402} - C:\WINDOWS\system32\CDDBUISon.dll
O2 - BHO: (no name) - {CC35F779-8787-4568-88AA-4A97B5BC7B50} - c:\windows\system32\mocogqip.dll
O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
O4 - HKLM\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O4 - HKCU\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O4 - Global Startup: Update_0707_KB77012.exe
O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)


Ensuite telecharge Ewido dispo sur http://downloads.grisoft.cz/softw/70/filedir/inst/avgas-setup-7.5.1.43.exe

Met le à jour et fais un scan complet

Amicalement

Eclypse
0
Réponse 2 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
Hello,
ewido effectué + panda scan 2 virus trouvé et désinfecté.
Mais les lignes 020 et 02 correspondant dans hijack impossible à,supprimer!

Logfile of HijackThis v1.99.1
Scan saved at 21:59:03, on 25/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\slrundll.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

Scan panda:

Incident Statut Analyse

Spyware:Cookie/bravenetA No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@bravenet[1].txt
Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@metriweb[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@overture[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xiti[2].txt
Spyware:Cookie/XXXCounter No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xxxcounter[1].txt
Virus:Generic Trojan Désinfecté C:\WINDOWS\system32\mocogqip.dll
Virus:Generic Trojan Désinfecté C:\WINDOWS\system32\nphanph.dll.bak
Qui peut m'aider????

Merci d'avance àtous!

Benny
0
Réponse 3 / 83
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Salut

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
0
Réponse 4 / 83
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Coucou Marie,

Bennyweb ==> « panda scan 2 virus trouvé et désinfecté. »
Pourrais-tu détailler ces deux virus trouvés SVP ?
Retrouve-nous ces deux rapports AVG et PANDA et poste -les SVP.

Merci
Al.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
hello,

hm, désolé mais pas de trace des rapports et je découvre ces messages après avoir effectué bitdefender en ligne et hijack,
voici les rapports.
mercid 'avance!
Benny
BitDefender Online Scanner

Scan report generated at: Wed, Sep 05, 2007 - 19:11:33

Scan path: A:\;C:\;D:\;E:\;

Statistics

Time
02:59:11

Files
267146

Folders
5414

Boot Sectors
2

Archives
1273

Packed Files
9661

Results

Identified Viruses
2

Infected Files
6

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
4

Engines Info

Virus Definitions
787398

Engine build
AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Scan plugins
14

Archive plugins
38

Unpack plugins
7

E-mail plugins
6

System plugins
1

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP17\A0005235.dll
Infected with: Trojan.Conhook.Y

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP17\A0005235.dll
Disinfection failed

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP17\A0005235.dll
Deleted

C:\WINDOWS\system32\afdghmnt.dll
Infected with: Trojan.Conhook.Y

C:\WINDOWS\system32\afdghmnt.dll
Disinfection failed

C:\WINDOWS\system32\afdghmnt.dll
Deleted

C:\WINDOWS\system32\AppCert\wnl32.dll
Infected with: Trojan.Spy.XTL

C:\WINDOWS\system32\AppCert\wnl32.dll
Disinfection failed

C:\WINDOWS\system32\AppCert\wnl32.dll
Delete failed

C:\WINDOWS\system32\cftqlbmz.dll
Infected with: Trojan.Conhook.Y

C:\WINDOWS\system32\cftqlbmz.dll
Disinfection failed

C:\WINDOWS\system32\cftqlbmz.dll
Deleted

C:\WINDOWS\system32\nphanph.dll.bak
Infected with: Trojan.Conhook.Y

C:\WINDOWS\system32\nphanph.dll.bak
Disinfection failed

C:\WINDOWS\system32\nphanph.dll.bak
Delete failed

C:\WINDOWS\system32\oinncwrc.dll
Infected with: Trojan.Conhook.Y

C:\WINDOWS\system32\oinncwrc.dll
Disinfection failed

C:\WINDOWS\system32\oinncwrc.dll
Deleted

Logfile of HijackThis v1.99.1
Scan saved at 21:02:55, on 05/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\slrundll.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

quid?

Grand merci!
0
Réponse 6 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
Re-moi,
je viens de passer Vundofix mais qui n'a trouvé aucun fichier à supprimer!
0
Réponse 7 / 83
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
OK

Peux tu répondre à la question posée ==> 8wd56u exe#ecrire
Merci
0
Réponse 8 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
Hello,

je recherche mais ne trouve pas.(désolé!)
je pense cependant que ceci est le scan de bitdefender car il date du 25 août ( les dates semblent correspondre):

Incident Statut Analyse

Spyware:Cookie/bravenetA No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@bravenet[1].txt
Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@metriweb[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@overture[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xiti[2].txt
Spyware:Cookie/XXXCounter No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xxxcounter[1].txt
Virus:Generic Trojan Désinfecté C:\WINDOWS\system32\mocogqip.dll
Virus:Generic Trojan Désinfecté C:\WINDOWS\system32\nphanph.dll.bak
0
Réponse 9 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
A tout hasard un scan avg dont j'ai trouvé trace
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 00:49:47 08/08/2007

+ Résultat de l'analyse:

C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@pandasoftware.112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@4.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@cz5.clickzs[2].txt -> TrackingCookie.Clickzs : Nettoyé.
C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@image.masterstats[1].txt -> TrackingCookie.Masterstats : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xxxcounter[1].txt -> TrackingCookie.Xxxcounter : Nettoyé.
C:\Documents and Settings\Administrateur\Local Settings\Temp\aefusala.sys -> Trojan.Delf.zj : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport
0
Réponse 10 / 83
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Coucou Marie,

Bonjour Bennyweb, fais ceci SVP, dans l'ordre et complètement ( prends ton temps ):

A)-
1)- •Télécharge « clean.zip »
< http://www.malekal.com/download/clean.zip >
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
< http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
2)- •Redémarre en mode sans échec.
Tutos: Comment faire pour... à la lettre C
< https://forum.pcastuces.com/default.asp >
( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).
3)- ••- Ouvre le dossier « clean » qui se trouve sur ton bureau.
- Double-clic sur « clean.cmd ».
< http://img525.imageshack.us/img525/6053/screenshot059mn7.png >
Une fenêtre noire va apparaître, suis les consignes
< http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
Choisis l’option 2.
Clean va travailler. Il va produire un rapport.
Redémarre normalement le PC
4)- Il se trouve ici : Clic sur « Poste de travail » , double-clic sur disque « C / » double-clic sur « rapport_clean.txt » en faire un copier/coller.

B)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum

C)- Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau
dans ta prochaine réponse.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

D)- Fais un ScanOnline PANDA ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
Attention!! Panda peut entrer en conflit avec autre antivirus . Par exemple, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

E)- Supprime cette saleté O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

F)- Vérifier :
C:\WINDOWS\system32\8wd56u.exe
C:\WINDOWS\system32\dllhost.exe
c:\windows\system32\mocogqip.dll
chez VirusTotal < https://www.virustotal.com/gui/ > .

à suivre :
O2 - BHO: (no name) - {CC35F779-8787-4568-88AA-4A97B5BC7B50} - c:\windows\system32\mocogqip.dll
O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
O2 - BHO: (no name) - {520EEF75-40F4-4632-B552-CF6E815ED402} - C:\WINDOWS\system32\CDDBUISon.dll
O4 - HKLM\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Courage
Merci
Al.

0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Bonjour Al.

Un soucis de connexion

Combofix est opérationnel ??


Merci
0
Réponse 11 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
hello,

pf....dur dur!

Voici les résultats des différentes manips!

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 06/09/2007 a 16:28:33,48

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de "C:\Documents and Settings\Administrateur\Application Data\ezpinst.exe"

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\DivX\Google\Firefox\ffinstaller.exe"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !



ComboFix 07-08-30.3 - "Administrateur" 2007-09-06 16:40:37.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.465 [GMT 2:00]
* Created a new restore point

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\drivers\ciltreau.sys
C:\WINDOWS\system32\drivers\hd_dirs.cfg
C:\WINDOWS\system32\drivers\hd_files.cfg
C:\WINDOWS\system32\drivers\hd_rkeys.cfg
C:\WINDOWS\system32\drivers\hd_rvals.cfg
C:\WINDOWS\system32\drivers\hd_self.cfg
C:\WINDOWS\system32\nphanph.dll.bak

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_RAOGTHAL
-------\LEGACY_SIXCSUDO
-------\ICF
-------\raogthal
-------\sixcsudo

((((((((((((((((((((((((( Files Created from 2007-08-06 to 2007-09-06 )))))))))))))))))))))))))))))))

2007-09-06 16:39 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-05 21:14 <REP> d-------- C:\VundoFix Backups
2007-08-24 23:17 <REP> d-------- C:\Program Files\QuickTime
2007-08-17 13:28 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Leadertech
2007-08-12 09:02 <REP> d--h----- C:\WINDOWS\PIF
2007-08-09 22:50 <REP> d-------- C:\Program Files\MSXML 4.0
2007-08-07 22:19 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-07 16:18 <REP> d-------- C:\WINDOWS\system32\AppCert

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-09-06 16:56 119884832 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-09-06 16:55 6419744 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-09-06 16:51 602852 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-09-06 16:51 1606508 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-09-06 16:48 --------- d-------- C:\Program Files\Kaspersky Lab
2007-09-02 14:34 --------- d-------- C:\Program Files\Google
2007-09-02 12:31 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-08-31 21:50 --------- d-------- C:\Program Files\BoontyGames
2007-08-29 15:46 --------- d-------- C:\Program Files\eMule
2007-08-25 18:44 --------- d-------- C:\Program Files\MSN Messenger
2007-08-17 07:00 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Google
2007-08-16 16:15 --------- d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-08-07 17:42 --------- d-------- C:\Program Files\PhotoWise
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 11:08 320 --a------ C:\syslfsi.exe
2007-07-30 00:39 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Samsung
2007-07-26 18:51 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-26 18:44 --------- d-------- C:\Program Files\Samsung
2007-07-23 09:23 --------- d-------- C:\Program Files\Picasa2
2007-02-22 18:13 47360 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\pcouffin.sys

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 04:04]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"CHotkey"="zHotkey.exe" [2003-07-29 18:06 C:\WINDOWS\zHotkey.exe]
"ShowWnd"="ShowWnd.exe" [2003-09-19 09:09 C:\WINDOWS\ShowWnd.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nero PhotoShow Media Manager"="C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe" [2006-05-10 21:52]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^QuickLink.lnk]
path=C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\QuickLink.lnk
backup=C:\WINDOWS\pss\QuickLink.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^KODAK Software Updater.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\KODAK Software Updater.lnk
backup=C:\WINDOWS\pss\KODAK Software Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk
backup=C:\WINDOWS\pss\Logiciel Kodak EasyShare.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ScanPanel.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ScanPanel.lnk
backup=C:\WINDOWS\pss\ScanPanel.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
"C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Program Files\Picasa2\PicasaMediaDetector.exe

R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\system32\drivers\stac97na.sys
R3 STAC97NH;STAC97NH;C:\WINDOWS\system32\drivers\stac97nh.sys
S0 ippflt;IP Packet Filter;C:\WINDOWS\system32\Drivers\ippflt.sys
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"
S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ssm_bus.sys
S3 ssm_mdfl;SAMSUNG Mobile USB Modem II 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys
S3 ssm_mdm;SAMSUNG Mobile USB Modem II 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ssm_mdm.sys

Contents of the 'Scheduled Tasks' folder
2007-08-31 20:08:25 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-06 16:53:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-09-06 16:59:57 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-06 16:59

--- E O F ---

[code]
2007-07-08 21:23 15399 --a------ C:\Qoobox\Quarantine\C\ComboFix\FProps.vbs.vir
2007-08-07 16:17 14208 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ciltreau.sys.vir
2007-08-07 16:18 155 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_rvals.cfg.vir
2007-08-07 16:18 17 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_self.cfg.vir
2007-08-07 16:18 27 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_dirs.cfg.vir
2007-08-07 16:18 44 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_rkeys.cfg.vir
2007-08-07 16:18 75776 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\nphanph.dll.bak.vir
2007-08-07 16:18 93 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_files.cfg.vir
2007-09-06 16:39 0 --a------ C:\Qoobox\BackEnv\PROGRAMS.folder.cf
2007-09-06 16:39 0 --a------ C:\Qoobox\BackEnv\START MENU.folder.cf
2007-09-06 16:39 0 --a------ C:\Qoobox\BackEnv\STARTUP.folder.cf
2007-09-06 16:39 0 --a------ C:\Qoobox\BackEnv\TEMPLATES.folder.cf
2007-09-06 16:39 110 --a------ C:\Qoobox\BackEnv\profiles.folder.cf
2007-09-06 16:39 155 --a------ C:\Qoobox\BackEnv\APPDATA.folder.cf
2007-09-06 16:39 160 --a------ C:\Qoobox\BackEnv\LOCAL APPDATA.folder.cf
2007-09-06 16:39 170 --a------ C:\Qoobox\BackEnv\LOCAL SETTINGS.folder.cf
2007-09-06 16:39 215 --a------ C:\Qoobox\BackEnv\CACHE.folder.cf
2007-09-06 16:39 2936 --a------ C:\Qoobox\BackEnv\setpath.bat
2007-09-06 16:39 40 --a------ C:\Qoobox\BackEnv\MY PICTURES.folder.cf
2007-09-06 16:39 58 --a------ C:\Qoobox\BackEnv\DESKTOP.folder.cf
2007-09-06 16:39 60 --a------ C:\Qoobox\BackEnv\FAVORITES.folder.cf
2007-09-06 16:39 62 --a------ C:\Qoobox\BackEnv\PERSONAL.folder.cf
2007-09-06 16:47 1064 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_SIXCSUDO.reg.cf
2007-09-06 16:47 1422 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_RAOGTHAL.reg.cf
2007-09-06 16:47 198 --a------ C:\Qoobox\Quarantine\Registry_backups\services_ICF.reg.cf
2007-09-06 16:47 2120 --a------ C:\Qoobox\Quarantine\Registry_backups\services_sixcsudo.reg.cf
2007-09-06 16:47 396 --a------ C:\Qoobox\Quarantine\catchme.log
2007-09-06 16:47 81452 --a------ C:\Qoobox\Quarantine\catchme2007-09-06_165335.51.zip
2007-09-06 16:48 7928 --a------ C:\Qoobox\Quarantine\Registry_backups\services_raogthal.reg.cf
2007-09-06 16:58 604686 --a------ C:\Qoobox\snapshot_2007-09-06_165808.92.cf

Structure du dossier
Le num‚ro de s‚rie du volume est 28C4-1161
C:\QOOBOX
| snapshot_2007-09-06_165808.92.cf
|
+---BackEnv
| APPDATA.folder.cf
| CACHE.folder.cf
| DESKTOP.folder.cf
| FAVORITES.folder.cf
| LOCAL APPDATA.folder.cf
| LOCAL SETTINGS.folder.cf
| MY PICTURES.folder.cf
| PERSONAL.folder.cf
| profiles.folder.cf
| PROGRAMS.folder.cf
| setpath.bat
| START MENU.folder.cf
| STARTUP.folder.cf
| TEMPLATES.folder.cf
|
\---Quarantine
| catchme.log
| catchme2007-09-06_165335.51.zip
|
+---C
| +---ComboFix
| | FProps.vbs.vir
| |
| \---WINDOWS
| \---system32
| | nphanph.dll.bak.vir
| |
| \---drivers
| ciltreau.sys.vir
| hd_dirs.cfg.vir
| hd_files.cfg.vir
| hd_rkeys.cfg.vir
| hd_rvals.cfg.vir
| hd_self.cfg.vir
|
\---Registry_backups
LEGACY_RAOGTHAL.reg.cf
LEGACY_SIXCSUDO.reg.cf
services_ICF.reg.cf
services_raogthal.reg.cf
services_sixcsudo.reg.cf

[/code]


[09/06/2007, 17:03:27] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[09/06/2007, 17:03:40] - Detected System Information:
[09/06/2007, 17:03:40] - Windows Version: 5.1.2600, Service Pack 2
[09/06/2007, 17:03:40] - Current Username: Administrateur (Admin)
[09/06/2007, 17:03:40] - Windows is in NORMAL mode.
[09/06/2007, 17:03:40] - Searching for Browser Helper Objects:
[09/06/2007, 17:03:40] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[09/06/2007, 17:03:40] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[09/06/2007, 17:03:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/06/2007, 17:03:40] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[09/06/2007, 17:03:40] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[09/06/2007, 17:03:40] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/06/2007, 17:03:40] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[09/06/2007, 17:03:40] - Finished Searching Browser Helper Objects
[09/06/2007, 17:03:40] - Finishing up...
[09/06/2007, 17:03:40] - Nothing found! Exiting...

4°panda impossible à réaliser 2 jours et toujours pas fini.
J'ai opté en désespoir de cause pour bitdefender dont voici le rapport

BitDefender Online Scanner

Scan report generated at: Sat, Sep 08, 2007 - 18:33:49

Scan path: A:\;C:\;D:\;E:\;

Statistics

Time
03:05:58

Files
304610

Folders
5422

Boot Sectors
2

Archives
1281

Packed Files
9655

Results

Identified Viruses
2

Infected Files
5

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
4

Engines Info

Virus Definitions
798327

Engine build
AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Scan plugins
14

Archive plugins
38

Unpack plugins
7

E-mail plugins
6

System plugins
1

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\qoobox\Quarantine\catchme2007-09-06_165335.51.zip=>nphanph.dll.bak
Infected with: Trojan.Conhook.Y

C:\qoobox\Quarantine\catchme2007-09-06_165335.51.zip=>nphanph.dll.bak
Disinfection failed

C:\qoobox\Quarantine\catchme2007-09-06_165335.51.zip=>nphanph.dll.bak
Deleted

C:\qoobox\Quarantine\catchme2007-09-06_165335.51.zip
Updated

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016058.dll
Infected with: Trojan.Conhook.Y

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016058.dll
Disinfection failed

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016058.dll
Deleted

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016059.dll
Infected with: Trojan.Conhook.Y

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016059.dll
Disinfection failed

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016059.dll
Deleted

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016060.dll
Infected with: Trojan.Conhook.Y

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016060.dll
Disinfection failed

C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016060.dll
Deleted

C:\WINDOWS\system32\AppCert\wnl32.dll
Infected with: Trojan.Spy.XTL

C:\WINDOWS\system32\AppCert\wnl32.dll
Disinfection failed

C:\WINDOWS\system32\AppCert\wnl32.dll
Delete failed

5° Rapport hijack :

Logfile of HijackThis v1.99.1
Scan saved at 23:19:53, on 08/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\slrundll.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

6) Virus total:

Paq de trace sur le disque de

C:\WINDOWS\system32\8wd56u.exe
c:\windows\system32\mocogqip.dll

Analyse de C:\WINDOWS\system32\dllhost.exe rapport

Fichier dllhost.exe reçu le 2007.09.08 23:24:02 (CET)
Situation actuelle: terminé
Résultat: 0/32 (0%)

Quid????

Merci d'avance!

benny
0
Réponse 12 / 83
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour Marie,
Pourquoi demandes-tu ceci : « Combofix est opérationnel ?? »
Al.

Bonjour benny,
Merci pour ces rapports
Pas trop de temps aujourd'hui pour étudier; je vais essayer.

Al.
0
Réponse 13 / 83
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279
 
Salut Al;
Dans le forum contributeur, il semblerait que Combofix soit pour l'instant suspendu
Je n'ai pas trouvé chez Lyonnais.
0
Réponse 14 / 83
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Benny,

Oui, j'ai vu ==> C:\WINDOWS\system32\AppCert\wnl32.dll Delete failed

Fais analyser C:\syslfsi.exe chez VirusTotal . Merci

1°- Il faut faire ceci :
•- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case "Désactiver la restauration du systéme" et cliquer sur [Appliquer].
•- Lance _OTMoveIt < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe > ( à télécharger sur ton bureau ).
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés mais aussi et surtout les mises en quarantaine ).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder a Internet, Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
•- Redémarre le PC
•- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du système - Décocher la case "Désactiver la restauration du système" et cliquer sur [Appliquer].

2°- Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française)
Toujours charger avant l'utilisation pour profiter des dernières mises à jour.: < http://siri.urz.free.fr/Fix/SmitfraudFix.exe >
( donc, ne pas garder dans son PC )
Utilisation:
a)- Recherche:
Double cliquer sur SmitfraudFix.exe puis [exécuter] ( à ce moment, un dossier SmitfraudFix s’affiche sur le bureau ) ==> suivre instructions de la page bleue qui vient de s’ouvrir .
Sélectionner 1 et pressez Entrée dans le menu (pour créer un rapport des fichiers responsables de l'infection.)
Dans ta prochaine réponse, fais un copier/coller du rapport qui s'ouvre.
Renomme-le « Rapport1.txt », c’est très important pour la suite.
Le rapport se trouve à la racine du disque système C:\rapport1.txt
b)- Nettoyage:
•- Redémarrer l'ordinateur en mode sans échec < http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 >
•- Ouvre le dossier SmitfraudFix
•- Double-clic sur Smitfraud.cmd ==> suivre instructions de la page bleue qui vient de s’ouvrir
•- Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
•- A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
- Le fix déterminera si le fichier wininet.dll est infecté.
•- A la question: Corriger le fichier infecté ? Répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Arrête, puis Redémarre en mode normal
Le rapport se trouve à la racine du disque système C:\rapport.txt ;
Tu le postes pour contrôle avec celui renommé en Rapport1.txt qui se trouve à la racine du disque système C:\rapport1.txt.

EDIT: Lire les deux premières phrases en tête de ce poste. Merci.

Courage, il y avait beaucoup à nettoyer.
Bon dimanche
Al.

0
Réponse 15 / 83
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Marie
Pour ComboFix, c'est une vieille info
Ce Fix est maintenant propre à l'utilisation sur forum.
Tu ne trouves pas facilement de discussion là-dessus, parce qu'elles se font par MP impérativement
Mais tu dois trouver mes interventions à ce sujet sur PCA ;)
Bon dimanche
Al.
0
Réponse 16 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
hello,

j'ai effectué la manip 1
pour smitfrau je ne trouve pas de smitfrau.cmd dans le dossier?

Rapprt 1

SmitFraudFix v2.221

Rapport fait à 14:04:52,56, 09/09/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\slrundll.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C40163A-EED3-4E79-8AC3-F8FDE42CF741}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C40163A-EED3-4E79-8AC3-F8FDE42CF741}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4C40163A-EED3-4E79-8AC3-F8FDE42CF741}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

quid???

merci benny
0
Réponse 17 / 83
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Benny

Oui, tu n'es pas le premier à qui ça arrive, je ne sais pas d'où cela vient .
Cela arrive aussi avec le programme "clean" parfois.
Mystères de l'informatique.

Avant de déployer la grosse artillerie pour ce fichier à supprimer wnl32.dll , commençons comme ceci :

Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]

( Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > )

Ensuite via "Démarrer" > "Poste de travail" > Disque local C:\ , tu suis ce chemin WINDOWS\system32\AppCert\ , et dans ce dossier AppCert\ recherche le fichier wnl32.dll et supprime-le .

Donne des nouvelles
Al.

0
Réponse 18 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
hello
suivi instructions mais impossible à supprimer accès refusé, protégé en écriture ou utilisé......

Faut-il essayer en mode sans échec???
merci
Benny
0
Réponse 19 / 83
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Bizarre!
Or BitDefender le qualifie d'infection.

Il faut donc faire analyser ce fichier "wnl32.dll" chez VirusTotal comme ceci :

Vas là </souligne>:< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier wnl32.dll
c'est-à-dire C:\WINDOWS\system32\AppCert\
•- quand tu as trouvé le premier fichier wnl32.dll, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier wnl32.dll se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send file" ( de la page de Virustotal )
•- et tu attends le résultat (il faut parfois patienter)
•- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )

Merci pour ta collaboration
Al.

0
Réponse 20 / 83
Bennyweb Messages postés 258 Statut Membre 1
 
Hello,

rapport
Fichier wnl32.dll reçu le 2007.09.09 17:27:58 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 3/32 (9.38%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 6.
L'heure estimée de démarrage est entre 61 et 87 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.9.8.0 2007.09.07 -
AntiVir 7.6.0.5 2007.09.08 TR/Spy.XTL
Authentium 4.93.8 2007.09.09 -
Avast 4.7.1043.0 2007.09.08 -
AVG 7.5.0.485 2007.09.09 -
BitDefender 7.2 2007.09.09 Trojan.Spy.XTL
CAT-QuickHeal 9.00 2007.09.08 -
ClamAV 0.91.2 2007.09.09 -
DrWeb 4.33 2007.09.08 -
eSafe 7.0.15.0 2007.09.04 -
eTrust-Vet 31.1.5119 2007.09.08 -
Ewido 4.0 2007.09.09 -
FileAdvisor 1 2007.09.09 -
Fortinet 3.11.0.0 2007.09.08 -
F-Prot 4.3.2.48 2007.09.09 -
F-Secure 6.70.13030.0 2007.09.09 -
Ikarus T3.1.1.12 2007.09.09 -
Kaspersky 4.0.2.24 2007.09.09 -
McAfee 5115 2007.09.07 -
Microsoft 1.2803 2007.09.09 -
NOD32v2 2515 2007.09.09 -
Norman 5.80.02 2007.09.07 -
Panda 9.0.0.4 2007.09.09 -
Prevx1 V2 2007.09.09 -
Rising 19.39.62.00 2007.09.09 -
Sophos 4.21.0 2007.09.09 -
Sunbelt 2.2.907.0 2007.09.07 -
Symantec 10 2007.09.09 -
TheHacker 6.1.10.182 2007.09.08 -
VBA32 3.12.2.4 2007.09.08 -
VirusBuster 4.3.26:9 2007.09.09 -
Webwasher-Gateway 6.0.1 2007.09.08 Trojan.Spy.XTL
Information additionnelle
File size: 54684 bytes
MD5: 14d58a7889fabaf0149cb59e76a7377c
SHA1: c57ed5a250b851a556e6935b5ec2fc8e99f7c09a

ATTENTION: VirusTotal iest un service gratuit offert

Que faire????
Merci!
Benny
0