8wd56u.exe????

Bennyweb Messages postés 258 Statut Membre -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjojur à tous,
je viens de recevoir une attaque successives de 2 virus dont un a nécessité une réparation spéciale de kaspersky avec redémarrage du pc ! cela semble tourner mais

-présence d'un halo rose bas gauche de l'écran ( le e d'explorer en bas de page est rosé.)
- un processus dans le gestionnaire me semble suspect??? 8wd56u.exe
Quid?
Quelqu'un peut-il m'aider,
je joins Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 16:49:35, on 07/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\8wd56u.exe
C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\PhotoWise\quicklnk.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\slrundll.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {520EEF75-40F4-4632-B552-CF6E815ED402} - C:\WINDOWS\system32\CDDBUISon.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {CC35F779-8787-4568-88AA-4A97B5BC7B50} - c:\windows\system32\mocogqip.dll
O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
O4 - Startup: QuickLink.lnk = C:\Program Files\PhotoWise\quicklnk.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Update_0707_KB77012.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

Grand merci d'avance à tous!!!!
Benny

83 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Une infection informatique complexe survient après une attaque virale suivie d'une réparation par Kaspersky, avec un halo rose à l'écran et un processus suspect nommé 8wd56u.exe. Les réponses recommandent d’identifier et supprimer les éléments malveillants via HijackThis et des analyses sur VirusTotal, puis suppression d’outils potentiellement indésirables comme VundoFix, The Avenger et SmitfraudFix. Des précautions incluent la suppression de fichiers et clés système douteux, la création d’un point de restauration et le renforcement des sauvegardes avant d’envisager des actions plus radicales. Une information contextuelle indique que le PC avait été reformaté et réinstallé après son achat d'occasion, ce qui apporte une nuance sur l'étendue des nettoyages envisagés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. eclypse16 Messages postés 162 Date d'inscription   Statut Membre
     
    Salut

    Reouvre hijackthis et coche
    O2 - BHO: (no name) - {520EEF75-40F4-4632-B552-CF6E815ED402} - C:\WINDOWS\system32\CDDBUISon.dll
    O2 - BHO: (no name) - {CC35F779-8787-4568-88AA-4A97B5BC7B50} - c:\windows\system32\mocogqip.dll
    O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
    O4 - HKLM\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
    O4 - HKCU\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
    O4 - Global Startup: Update_0707_KB77012.exe
    O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)
    


    Ensuite telecharge Ewido dispo sur http://downloads.grisoft.cz/softw/70/filedir/inst/avgas-setup-7.5.1.43.exe

    Met le à jour et fais un scan complet

    Amicalement

    Eclypse
    0
  2. Bennyweb Messages postés 258 Statut Membre 1
     
    Hello,
    ewido effectué + panda scan 2 virus trouvé et désinfecté.
    Mais les lignes 020 et 02 correspondant dans hijack impossible à,supprimer!

    Logfile of HijackThis v1.99.1
    Scan saved at 21:59:03, on 25/08/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\zHotkey.exe
    C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\slrundll.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
    C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
    O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

    Scan panda:

    Incident Statut Analyse

    Spyware:Cookie/bravenetA No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@bravenet[1].txt
    Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@metriweb[1].txt
    Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@overture[1].txt
    Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@weborama[2].txt
    Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xiti[2].txt
    Spyware:Cookie/XXXCounter No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xxxcounter[1].txt
    Virus:Generic Trojan Désinfecté C:\WINDOWS\system32\mocogqip.dll
    Virus:Generic Trojan Désinfecté C:\WINDOWS\system32\nphanph.dll.bak
    Qui peut m'aider????

    Merci d'avance àtous!

    Benny
    0
  3. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4

    * Double-clique VundoFix.exe afin de le lancer.
    * Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
    * Clique sur le bouton Scan for Vundo.
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    * Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
    * Démarre ton PC à nouveau.
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt

    ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
    0
  4. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Coucou Marie,

    Bennyweb ==> « panda scan 2 virus trouvé et désinfecté. »
    Pourrais-tu détailler ces deux virus trouvés SVP ?
    Retrouve-nous ces deux rapports AVG et PANDA et poste -les SVP.

    Merci
    Al.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Bennyweb Messages postés 258 Statut Membre 1
     
    hello,

    hm, désolé mais pas de trace des rapports et je découvre ces messages après avoir effectué bitdefender en ligne et hijack,
    voici les rapports.
    mercid 'avance!
    Benny
    BitDefender Online Scanner

    Scan report generated at: Wed, Sep 05, 2007 - 19:11:33

    Scan path: A:\;C:\;D:\;E:\;

    Statistics

    Time
    02:59:11

    Files
    267146

    Folders
    5414

    Boot Sectors
    2

    Archives
    1273

    Packed Files
    9661

    Results

    Identified Viruses
    2

    Infected Files
    6

    Suspect Files
    0

    Warnings
    0

    Disinfected
    0

    Deleted Files
    4

    Engines Info

    Virus Definitions
    787398

    Engine build
    AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

    Scan plugins
    14

    Archive plugins
    38

    Unpack plugins
    7

    E-mail plugins
    6

    System plugins
    1

    Scan Settings

    First Action
    Disinfect

    Second Action
    Delete

    Heuristics
    Yes

    Enable Warnings
    Yes

    Scanned Extensions
    *;

    Exclude Extensions

    Scan Emails
    Yes

    Scan Archives
    Yes

    Scan Packed
    Yes

    Scan Files
    Yes

    Scan Boot
    Yes

    Scanned File
    Status

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP17\A0005235.dll
    Infected with: Trojan.Conhook.Y

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP17\A0005235.dll
    Disinfection failed

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP17\A0005235.dll
    Deleted

    C:\WINDOWS\system32\afdghmnt.dll
    Infected with: Trojan.Conhook.Y

    C:\WINDOWS\system32\afdghmnt.dll
    Disinfection failed

    C:\WINDOWS\system32\afdghmnt.dll
    Deleted

    C:\WINDOWS\system32\AppCert\wnl32.dll
    Infected with: Trojan.Spy.XTL

    C:\WINDOWS\system32\AppCert\wnl32.dll
    Disinfection failed

    C:\WINDOWS\system32\AppCert\wnl32.dll
    Delete failed

    C:\WINDOWS\system32\cftqlbmz.dll
    Infected with: Trojan.Conhook.Y

    C:\WINDOWS\system32\cftqlbmz.dll
    Disinfection failed

    C:\WINDOWS\system32\cftqlbmz.dll
    Deleted

    C:\WINDOWS\system32\nphanph.dll.bak
    Infected with: Trojan.Conhook.Y

    C:\WINDOWS\system32\nphanph.dll.bak
    Disinfection failed

    C:\WINDOWS\system32\nphanph.dll.bak
    Delete failed

    C:\WINDOWS\system32\oinncwrc.dll
    Infected with: Trojan.Conhook.Y

    C:\WINDOWS\system32\oinncwrc.dll
    Disinfection failed

    C:\WINDOWS\system32\oinncwrc.dll
    Deleted

    Logfile of HijackThis v1.99.1
    Scan saved at 21:02:55, on 05/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\zHotkey.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\slrundll.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
    O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O20 - Winlogon Notify: pcvuqfvf - nphanph.dll (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

    quid?

    Grand merci!
    0
  7. Bennyweb Messages postés 258 Statut Membre 1
     
    Re-moi,
    je viens de passer Vundofix mais qui n'a trouvé aucun fichier à supprimer!
    0
  8. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    OK

    Peux tu répondre à la question posée ==> 8wd56u exe#ecrire
    Merci
    0
  9. Bennyweb Messages postés 258 Statut Membre 1
     
    Hello,

    je recherche mais ne trouve pas.(désolé!)
    je pense cependant que ceci est le scan de bitdefender car il date du 25 août ( les dates semblent correspondre):

    Incident Statut Analyse

    Spyware:Cookie/bravenetA No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@bravenet[1].txt
    Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@metriweb[1].txt
    Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@overture[1].txt
    Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@weborama[2].txt
    Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xiti[2].txt
    Spyware:Cookie/XXXCounter No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xxxcounter[1].txt
    Virus:Generic Trojan Désinfecté C:\WINDOWS\system32\mocogqip.dll
    Virus:Generic Trojan Désinfecté C:\WINDOWS\system32\nphanph.dll.bak
    0
  10. Bennyweb Messages postés 258 Statut Membre 1
     
    A tout hasard un scan avg dont j'ai trouvé trace
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 00:49:47 08/08/2007

    + Résultat de l'analyse:

    C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@pandasoftware.112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@4.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@cz5.clickzs[2].txt -> TrackingCookie.Clickzs : Nettoyé.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@image.masterstats[1].txt -> TrackingCookie.Masterstats : Nettoyé.
    C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Nettoyé.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\Cookies\administrateur@xxxcounter[1].txt -> TrackingCookie.Xxxcounter : Nettoyé.
    C:\Documents and Settings\Administrateur\Local Settings\Temp\aefusala.sys -> Trojan.Delf.zj : Nettoyé et sauvegardé (mise en quarantaine).

    Fin du rapport
    0
  11. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Coucou Marie,

    Bonjour Bennyweb, fais ceci SVP, dans l'ordre et complètement ( prends ton temps ):

    A)-
    1)- •Télécharge « clean.zip »
    < http://www.malekal.com/download/clean.zip >
    •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
    < http://img227.imageshack.us/img227/9384/screenshot149ih1.gif >
    2)- •Redémarre en mode sans échec.
    Tutos: Comment faire pour... à la lettre C
    < https://forum.pcastuces.com/default.asp >
    ( note bien ce que tu as à faire, parce que tu n'auras plus accès à IE durant cette procédure ).
    3)- ••- Ouvre le dossier « clean » qui se trouve sur ton bureau.
    - Double-clic sur « clean.cmd ».
    < http://img525.imageshack.us/img525/6053/screenshot059mn7.png >
    Une fenêtre noire va apparaître, suis les consignes
    < http://img483.imageshack.us/img483/6285/screenshot210io7.gif >
    Choisis l’option 2.
    Clean va travailler. Il va produire un rapport.
    Redémarre normalement le PC
    4)- Il se trouve ici : Clic sur « Poste de travail » , double-clic sur disque « C / » double-clic sur « rapport_clean.txt » en faire un copier/coller.

    B)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
    < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
    - Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
    Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
    Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
    Tu copies et colles ce rapport sur le forum

    C)- Télécharge VirtumundoBegone sur le bureau:
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
    Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
    Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau
    dans ta prochaine réponse.
    Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

    D)- Fais un ScanOnline PANDA ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
    Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
    Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
    * A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
    Attention!! Panda peut entrer en conflit avec autre antivirus . Par exemple, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

    E)- Supprime cette saleté O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

    F)- Vérifier :
    C:\WINDOWS\system32\8wd56u.exe
    C:\WINDOWS\system32\dllhost.exe
    c:\windows\system32\mocogqip.dll
    chez VirusTotal < https://www.virustotal.com/gui/ > .

    à suivre :
    O2 - BHO: (no name) - {CC35F779-8787-4568-88AA-4A97B5BC7B50} - c:\windows\system32\mocogqip.dll
    O2 - BHO: (no name) - {FA633D12-D4B1-4A8F-9E5F-9A12024AF643} - c:\windows\system32\nphanph.dll (file missing)
    O2 - BHO: (no name) - {520EEF75-40F4-4632-B552-CF6E815ED402} - C:\WINDOWS\system32\CDDBUISon.dll
    O4 - HKLM\..\Run: [8wd56u] C:\WINDOWS\system32\8wd56u.exe
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    Courage
    Merci
    Al.

    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Bonjour Al.

      Un soucis de connexion

      Combofix est opérationnel ??


      Merci
      0
  12. Bennyweb Messages postés 258 Statut Membre 1
     
    hello,

    pf....dur dur!

    Voici les résultats des différentes manips!

    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 06/09/2007 a 16:28:33,48

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression des fichiers dans C:

    *** Suppression des fichiers dans C:\WINDOWS\

    *** Suppression des fichiers dans C:\WINDOWS\system32
    tentative de suppression de "C:\Documents and Settings\Administrateur\Application Data\ezpinst.exe"

    *** Suppression des fichiers dans C:\Program Files
    tentative de suppression de "C:\Program Files\DivX\Google\Firefox\ffinstaller.exe"

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !



    ComboFix 07-08-30.3 - "Administrateur" 2007-09-06 16:40:37.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.465 [GMT 2:00]
    * Created a new restore point

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\WINDOWS\system32\drivers\ciltreau.sys
    C:\WINDOWS\system32\drivers\hd_dirs.cfg
    C:\WINDOWS\system32\drivers\hd_files.cfg
    C:\WINDOWS\system32\drivers\hd_rkeys.cfg
    C:\WINDOWS\system32\drivers\hd_rvals.cfg
    C:\WINDOWS\system32\drivers\hd_self.cfg
    C:\WINDOWS\system32\nphanph.dll.bak

    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    -------\LEGACY_RAOGTHAL
    -------\LEGACY_SIXCSUDO
    -------\ICF
    -------\raogthal
    -------\sixcsudo

    ((((((((((((((((((((((((( Files Created from 2007-08-06 to 2007-09-06 )))))))))))))))))))))))))))))))

    2007-09-06 16:39 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-09-05 21:14 <REP> d-------- C:\VundoFix Backups
    2007-08-24 23:17 <REP> d-------- C:\Program Files\QuickTime
    2007-08-17 13:28 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Leadertech
    2007-08-12 09:02 <REP> d--h----- C:\WINDOWS\PIF
    2007-08-09 22:50 <REP> d-------- C:\Program Files\MSXML 4.0
    2007-08-07 22:19 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-08-07 16:18 <REP> d-------- C:\WINDOWS\system32\AppCert

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-09-06 16:56 119884832 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2007-09-06 16:55 6419744 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
    2007-09-06 16:51 602852 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
    2007-09-06 16:51 1606508 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2007-09-06 16:48 --------- d-------- C:\Program Files\Kaspersky Lab
    2007-09-02 14:34 --------- d-------- C:\Program Files\Google
    2007-09-02 12:31 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-08-31 21:50 --------- d-------- C:\Program Files\BoontyGames
    2007-08-29 15:46 --------- d-------- C:\Program Files\eMule
    2007-08-25 18:44 --------- d-------- C:\Program Files\MSN Messenger
    2007-08-17 07:00 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Google
    2007-08-16 16:15 --------- d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-08-07 17:42 --------- d-------- C:\Program Files\PhotoWise
    2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
    2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
    2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
    2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
    2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
    2007-07-30 11:08 320 --a------ C:\syslfsi.exe
    2007-07-30 00:39 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Samsung
    2007-07-26 18:51 --------- d--h----- C:\Program Files\InstallShield Installation Information
    2007-07-26 18:44 --------- d-------- C:\Program Files\Samsung
    2007-07-23 09:23 --------- d-------- C:\Program Files\Picasa2
    2007-02-22 18:13 47360 --a------ C:\DOCUME~1\ADMINI~1\APPLIC~1\pcouffin.sys

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 04:04]
    "kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
    "CHotkey"="zHotkey.exe" [2003-07-29 18:06 C:\WINDOWS\zHotkey.exe]
    "ShowWnd"="ShowWnd.exe" [2003-09-19 09:09 C:\WINDOWS\ShowWnd.exe]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Nero PhotoShow Media Manager"="C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe" [2006-05-10 21:52]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
    "InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"=0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^QuickLink.lnk]
    path=C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\QuickLink.lnk
    backup=C:\WINDOWS\pss\QuickLink.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^KODAK Software Updater.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\KODAK Software Updater.lnk
    backup=C:\WINDOWS\pss\KODAK Software Updater.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk
    backup=C:\WINDOWS\pss\Logiciel Kodak EasyShare.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ScanPanel.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ScanPanel.lnk
    backup=C:\WINDOWS\pss\ScanPanel.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
    backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
    "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
    "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
    C:\Program Files\Picasa2\PicasaMediaDetector.exe

    R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\system32\drivers\stac97na.sys
    R3 STAC97NH;STAC97NH;C:\WINDOWS\system32\drivers\stac97nh.sys
    S0 ippflt;IP Packet Filter;C:\WINDOWS\system32\Drivers\ippflt.sys
    S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"
    S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ssm_bus.sys
    S3 ssm_mdfl;SAMSUNG Mobile USB Modem II 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys
    S3 ssm_mdm;SAMSUNG Mobile USB Modem II 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ssm_mdm.sys

    Contents of the 'Scheduled Tasks' folder
    2007-08-31 20:08:25 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-06 16:53:58
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-09-06 16:59:57 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-06 16:59

    --- E O F ---

    [code]
    2007-07-08 21:23 15399 --a------ C:\Qoobox\Quarantine\C\ComboFix\FProps.vbs.vir
    2007-08-07 16:17 14208 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ciltreau.sys.vir
    2007-08-07 16:18 155 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_rvals.cfg.vir
    2007-08-07 16:18 17 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_self.cfg.vir
    2007-08-07 16:18 27 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_dirs.cfg.vir
    2007-08-07 16:18 44 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_rkeys.cfg.vir
    2007-08-07 16:18 75776 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\nphanph.dll.bak.vir
    2007-08-07 16:18 93 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hd_files.cfg.vir
    2007-09-06 16:39 0 --a------ C:\Qoobox\BackEnv\PROGRAMS.folder.cf
    2007-09-06 16:39 0 --a------ C:\Qoobox\BackEnv\START MENU.folder.cf
    2007-09-06 16:39 0 --a------ C:\Qoobox\BackEnv\STARTUP.folder.cf
    2007-09-06 16:39 0 --a------ C:\Qoobox\BackEnv\TEMPLATES.folder.cf
    2007-09-06 16:39 110 --a------ C:\Qoobox\BackEnv\profiles.folder.cf
    2007-09-06 16:39 155 --a------ C:\Qoobox\BackEnv\APPDATA.folder.cf
    2007-09-06 16:39 160 --a------ C:\Qoobox\BackEnv\LOCAL APPDATA.folder.cf
    2007-09-06 16:39 170 --a------ C:\Qoobox\BackEnv\LOCAL SETTINGS.folder.cf
    2007-09-06 16:39 215 --a------ C:\Qoobox\BackEnv\CACHE.folder.cf
    2007-09-06 16:39 2936 --a------ C:\Qoobox\BackEnv\setpath.bat
    2007-09-06 16:39 40 --a------ C:\Qoobox\BackEnv\MY PICTURES.folder.cf
    2007-09-06 16:39 58 --a------ C:\Qoobox\BackEnv\DESKTOP.folder.cf
    2007-09-06 16:39 60 --a------ C:\Qoobox\BackEnv\FAVORITES.folder.cf
    2007-09-06 16:39 62 --a------ C:\Qoobox\BackEnv\PERSONAL.folder.cf
    2007-09-06 16:47 1064 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_SIXCSUDO.reg.cf
    2007-09-06 16:47 1422 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_RAOGTHAL.reg.cf
    2007-09-06 16:47 198 --a------ C:\Qoobox\Quarantine\Registry_backups\services_ICF.reg.cf
    2007-09-06 16:47 2120 --a------ C:\Qoobox\Quarantine\Registry_backups\services_sixcsudo.reg.cf
    2007-09-06 16:47 396 --a------ C:\Qoobox\Quarantine\catchme.log
    2007-09-06 16:47 81452 --a------ C:\Qoobox\Quarantine\catchme2007-09-06_165335.51.zip
    2007-09-06 16:48 7928 --a------ C:\Qoobox\Quarantine\Registry_backups\services_raogthal.reg.cf
    2007-09-06 16:58 604686 --a------ C:\Qoobox\snapshot_2007-09-06_165808.92.cf

    Structure du dossier
    Le num‚ro de s‚rie du volume est 28C4-1161
    C:\QOOBOX
    | snapshot_2007-09-06_165808.92.cf
    |
    +---BackEnv
    | APPDATA.folder.cf
    | CACHE.folder.cf
    | DESKTOP.folder.cf
    | FAVORITES.folder.cf
    | LOCAL APPDATA.folder.cf
    | LOCAL SETTINGS.folder.cf
    | MY PICTURES.folder.cf
    | PERSONAL.folder.cf
    | profiles.folder.cf
    | PROGRAMS.folder.cf
    | setpath.bat
    | START MENU.folder.cf
    | STARTUP.folder.cf
    | TEMPLATES.folder.cf
    |
    \---Quarantine
    | catchme.log
    | catchme2007-09-06_165335.51.zip
    |
    +---C
    | +---ComboFix
    | | FProps.vbs.vir
    | |
    | \---WINDOWS
    | \---system32
    | | nphanph.dll.bak.vir
    | |
    | \---drivers
    | ciltreau.sys.vir
    | hd_dirs.cfg.vir
    | hd_files.cfg.vir
    | hd_rkeys.cfg.vir
    | hd_rvals.cfg.vir
    | hd_self.cfg.vir
    |
    \---Registry_backups
    LEGACY_RAOGTHAL.reg.cf
    LEGACY_SIXCSUDO.reg.cf
    services_ICF.reg.cf
    services_raogthal.reg.cf
    services_sixcsudo.reg.cf

    [/code]


    [09/06/2007, 17:03:27] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
    [09/06/2007, 17:03:40] - Detected System Information:
    [09/06/2007, 17:03:40] - Windows Version: 5.1.2600, Service Pack 2
    [09/06/2007, 17:03:40] - Current Username: Administrateur (Admin)
    [09/06/2007, 17:03:40] - Windows is in NORMAL mode.
    [09/06/2007, 17:03:40] - Searching for Browser Helper Objects:
    [09/06/2007, 17:03:40] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
    [09/06/2007, 17:03:40] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
    [09/06/2007, 17:03:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [09/06/2007, 17:03:40] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [09/06/2007, 17:03:40] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [09/06/2007, 17:03:40] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [09/06/2007, 17:03:40] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
    [09/06/2007, 17:03:40] - Finished Searching Browser Helper Objects
    [09/06/2007, 17:03:40] - Finishing up...
    [09/06/2007, 17:03:40] - Nothing found! Exiting...

    4°panda impossible à réaliser 2 jours et toujours pas fini.
    J'ai opté en désespoir de cause pour bitdefender dont voici le rapport

    BitDefender Online Scanner

    Scan report generated at: Sat, Sep 08, 2007 - 18:33:49

    Scan path: A:\;C:\;D:\;E:\;

    Statistics

    Time
    03:05:58

    Files
    304610

    Folders
    5422

    Boot Sectors
    2

    Archives
    1281

    Packed Files
    9655

    Results

    Identified Viruses
    2

    Infected Files
    5

    Suspect Files
    0

    Warnings
    0

    Disinfected
    0

    Deleted Files
    4

    Engines Info

    Virus Definitions
    798327

    Engine build
    AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

    Scan plugins
    14

    Archive plugins
    38

    Unpack plugins
    7

    E-mail plugins
    6

    System plugins
    1

    Scan Settings

    First Action
    Disinfect

    Second Action
    Delete

    Heuristics
    Yes

    Enable Warnings
    Yes

    Scanned Extensions
    *;

    Exclude Extensions

    Scan Emails
    Yes

    Scan Archives
    Yes

    Scan Packed
    Yes

    Scan Files
    Yes

    Scan Boot
    Yes

    Scanned File
    Status

    C:\qoobox\Quarantine\catchme2007-09-06_165335.51.zip=>nphanph.dll.bak
    Infected with: Trojan.Conhook.Y

    C:\qoobox\Quarantine\catchme2007-09-06_165335.51.zip=>nphanph.dll.bak
    Disinfection failed

    C:\qoobox\Quarantine\catchme2007-09-06_165335.51.zip=>nphanph.dll.bak
    Deleted

    C:\qoobox\Quarantine\catchme2007-09-06_165335.51.zip
    Updated

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016058.dll
    Infected with: Trojan.Conhook.Y

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016058.dll
    Disinfection failed

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016058.dll
    Deleted

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016059.dll
    Infected with: Trojan.Conhook.Y

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016059.dll
    Disinfection failed

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016059.dll
    Deleted

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016060.dll
    Infected with: Trojan.Conhook.Y

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016060.dll
    Disinfection failed

    C:\System Volume Information\_restore{7A39BDC2-2B8E-449F-A7DB-F427301E7639}\RP28\A0016060.dll
    Deleted

    C:\WINDOWS\system32\AppCert\wnl32.dll
    Infected with: Trojan.Spy.XTL

    C:\WINDOWS\system32\AppCert\wnl32.dll
    Disinfection failed

    C:\WINDOWS\system32\AppCert\wnl32.dll
    Delete failed


    5° Rapport hijack :

    Logfile of HijackThis v1.99.1
    Scan saved at 23:19:53, on 08/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\zHotkey.exe
    C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\slrundll.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Administrateur\Mes documents\téléchargements\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tiscali.be/madubertaal/gogueule
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.generation-nt.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
    O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=www.generation-nt.com
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/Newuploader/ImageUploader4.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

    6) Virus total:

    Paq de trace sur le disque de

    C:\WINDOWS\system32\8wd56u.exe
    c:\windows\system32\mocogqip.dll

    Analyse de C:\WINDOWS\system32\dllhost.exe rapport

    Fichier dllhost.exe reçu le 2007.09.08 23:24:02 (CET)
    Situation actuelle: terminé
    Résultat: 0/32 (0%)

    Quid????

    Merci d'avance!

    benny
    0
  13. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour Marie,
    Pourquoi demandes-tu ceci : « Combofix est opérationnel ?? »
    Al.

    Bonjour benny,
    Merci pour ces rapports
    Pas trop de temps aujourd'hui pour étudier; je vais essayer.

    Al.
    0
  14. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut Al;
    Dans le forum contributeur, il semblerait que Combofix soit pour l'instant suspendu
    Je n'ai pas trouvé chez Lyonnais.
    0
  15. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Benny,

    Oui, j'ai vu ==> C:\WINDOWS\system32\AppCert\wnl32.dll Delete failed

    Fais analyser C:\syslfsi.exe chez VirusTotal . Merci

    1°- Il faut faire ceci :
    •- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case "Désactiver la restauration du systéme" et cliquer sur [Appliquer].
    •- Lance _OTMoveIt < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe > ( à télécharger sur ton bureau ).
    [*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés mais aussi et surtout les mises en quarantaine ).
    NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder a Internet, Autorise-le.
    [*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
    [*]Un message apparaît pour confirmer le nettoyage. Confirme
    •- Redémarre le PC
    •- Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du système - Décocher la case "Désactiver la restauration du système" et cliquer sur [Appliquer].

    2°- Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française)
    Toujours charger avant l'utilisation pour profiter des dernières mises à jour.: < http://siri.urz.free.fr/Fix/SmitfraudFix.exe >
    ( donc, ne pas garder dans son PC )
    Utilisation:
    a)- Recherche:
    Double cliquer sur SmitfraudFix.exe puis [exécuter] ( à ce moment, un dossier SmitfraudFix s’affiche sur le bureau ) ==> suivre instructions de la page bleue qui vient de s’ouvrir .
    Sélectionner 1 et pressez Entrée dans le menu (pour créer un rapport des fichiers responsables de l'infection.)
    Dans ta prochaine réponse, fais un copier/coller du rapport qui s'ouvre.
    Renomme-le « Rapport1.txt », c’est très important pour la suite.
    Le rapport se trouve à la racine du disque système C:\rapport1.txt
    b)- Nettoyage:
    •- Redémarrer l'ordinateur en mode sans échec < http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 >
    •- Ouvre le dossier SmitfraudFix
    •- Double-clic sur Smitfraud.cmd ==> suivre instructions de la page bleue qui vient de s’ouvrir
    •- Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
    •- A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
    - Le fix déterminera si le fichier wininet.dll est infecté.
    •- A la question: Corriger le fichier infecté ? Répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
    Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
    Arrête, puis Redémarre en mode normal
    Le rapport se trouve à la racine du disque système C:\rapport.txt ;
    Tu le postes pour contrôle avec celui renommé en Rapport1.txt qui se trouve à la racine du disque système C:\rapport1.txt.

    EDIT: Lire les deux premières phrases en tête de ce poste. Merci.

    Courage, il y avait beaucoup à nettoyer.
    Bon dimanche
    Al.

    0
  16. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Marie
    Pour ComboFix, c'est une vieille info
    Ce Fix est maintenant propre à l'utilisation sur forum.
    Tu ne trouves pas facilement de discussion là-dessus, parce qu'elles se font par MP impérativement
    Mais tu dois trouver mes interventions à ce sujet sur PCA ;)
    Bon dimanche
    Al.
    0
  17. Bennyweb Messages postés 258 Statut Membre 1
     
    hello,

    j'ai effectué la manip 1
    pour smitfrau je ne trouve pas de smitfrau.cmd dans le dossier?

    Rapprt 1

    SmitFraudFix v2.221

    Rapport fait à 14:04:52,56, 09/09/2007
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\ehome\ehtray.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\zHotkey.exe
    C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\slrundll.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C40163A-EED3-4E79-8AC3-F8FDE42CF741}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C40163A-EED3-4E79-8AC3-F8FDE42CF741}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{4C40163A-EED3-4E79-8AC3-F8FDE42CF741}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    quid???

    merci benny
    0
  18. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Benny

    Oui, tu n'es pas le premier à qui ça arrive, je ne sais pas d'où cela vient .
    Cela arrive aussi avec le programme "clean" parfois.
    Mystères de l'informatique.

    Avant de déployer la grosse artillerie pour ce fichier à supprimer wnl32.dll , commençons comme ceci :

    Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
    Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
    et là :
    cocher la case devant les lignes:
    - afficher les fichiers et dossier cachés
    - afficher contenu dossier système
    décocher la case devant les lignes:
    - masquer fichiers protégés du dossier système
    Tu vas recevoir un message qui te dit que cela peut endommager le système,
    n'en tiens pas compte.
    Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]

    ( Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > )

    Ensuite via "Démarrer" > "Poste de travail" > Disque local C:\ , tu suis ce chemin WINDOWS\system32\AppCert\ , et dans ce dossier AppCert\ recherche le fichier wnl32.dll et supprime-le .

    Donne des nouvelles
    Al.

    0
  19. Bennyweb Messages postés 258 Statut Membre 1
     
    hello
    suivi instructions mais impossible à supprimer accès refusé, protégé en écriture ou utilisé......

    Faut-il essayer en mode sans échec???
    merci
    Benny
    0
  20. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Bizarre!
    Or BitDefender le qualifie d'infection.

    Il faut donc faire analyser ce fichier "wnl32.dll" chez VirusTotal comme ceci :

    Vas là </souligne>:< https://www.virustotal.com/gui/ >
    •- sur la page qui s'affiche tu cliques sur "parcourir"
    •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier wnl32.dll
    c'est-à-dire C:\WINDOWS\system32\AppCert\
    •- quand tu as trouvé le premier fichier wnl32.dll, tu fais "ouvrir" ( sur cette dernière page affichée)
    •- le fichier wnl32.dll se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
    •- là, tu cliques sur "send file" ( de la page de Virustotal )
    •- et tu attends le résultat (il faut parfois patienter)
    •- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse )

    Merci pour ta collaboration
    Al.

    0
  21. Bennyweb Messages postés 258 Statut Membre 1
     
    Hello,

    rapport
    Fichier wnl32.dll reçu le 2007.09.09 17:27:58 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 3/32 (9.38%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 6.
    L'heure estimée de démarrage est entre 61 et 87 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2007.9.8.0 2007.09.07 -
    AntiVir 7.6.0.5 2007.09.08 TR/Spy.XTL
    Authentium 4.93.8 2007.09.09 -
    Avast 4.7.1043.0 2007.09.08 -
    AVG 7.5.0.485 2007.09.09 -
    BitDefender 7.2 2007.09.09 Trojan.Spy.XTL
    CAT-QuickHeal 9.00 2007.09.08 -
    ClamAV 0.91.2 2007.09.09 -
    DrWeb 4.33 2007.09.08 -
    eSafe 7.0.15.0 2007.09.04 -
    eTrust-Vet 31.1.5119 2007.09.08 -
    Ewido 4.0 2007.09.09 -
    FileAdvisor 1 2007.09.09 -
    Fortinet 3.11.0.0 2007.09.08 -
    F-Prot 4.3.2.48 2007.09.09 -
    F-Secure 6.70.13030.0 2007.09.09 -
    Ikarus T3.1.1.12 2007.09.09 -
    Kaspersky 4.0.2.24 2007.09.09 -
    McAfee 5115 2007.09.07 -
    Microsoft 1.2803 2007.09.09 -
    NOD32v2 2515 2007.09.09 -
    Norman 5.80.02 2007.09.07 -
    Panda 9.0.0.4 2007.09.09 -
    Prevx1 V2 2007.09.09 -
    Rising 19.39.62.00 2007.09.09 -
    Sophos 4.21.0 2007.09.09 -
    Sunbelt 2.2.907.0 2007.09.07 -
    Symantec 10 2007.09.09 -
    TheHacker 6.1.10.182 2007.09.08 -
    VBA32 3.12.2.4 2007.09.08 -
    VirusBuster 4.3.26:9 2007.09.09 -
    Webwasher-Gateway 6.0.1 2007.09.08 Trojan.Spy.XTL
    Information additionnelle
    File size: 54684 bytes
    MD5: 14d58a7889fabaf0149cb59e76a7377c
    SHA1: c57ed5a250b851a556e6935b5ec2fc8e99f7c09a

    ATTENTION: VirusTotal iest un service gratuit offert

    Que faire????
    Merci!
    Benny
    0
  • 1
  • 2
  • 3
  • 4
  • 5