[Trojan-Virus] Vundo-gen et Agent-HZRRésolu/Fermé

Question

Bonjour, hier mon antivirus a détecté plusieurs Trojan/Virus, et ce matin aussi donc j'ai suivi le tutoriel et voila mes scans si vous pouvez m'aider a déterminer si je suis toujours infecté ou pas.

J'ai windows xp sp2, et généralemen j'utilise firefox

Tout dabord voila les alertes enregistrées par AVAST:

20/08/2007 17:33:37	SYSTEM	1416	Sign of "Win32:Agent-HZR [Trj]" has been found in "C:\DOCUME~1\Fred\LOCALS~1\Temp\Rar$DR02.093\crack.exe" file.  
20/08/2007 17:38:58	SYSTEM	1416	Sign of "Win32:Vundo-gen47 [Adw]" has been found in "C:\WINDOWS\system32\vtstt.dll" file.  
21/08/2007 08:19:20	SYSTEM	1304	Sign of "Win32:Tiny-IF [Trj]" has been found in "C:\DOCUME~1\Fred\LOCALS~1\Temp\eysajhjy.exe" file.  
21/08/2007 08:21:58	SYSTEM	1304	Sign of "Win32:Vundo-gen48 [Adw]" has been found in "C:\Documents and Settings\Fred\Local Settings\Temporary Internet Files\Content.IE5\Y2EQEEJK\gepj[1]" file.  
21/08/2007 08:22:05	SYSTEM	1304	Sign of "Win32:Vundo-gen48 [Adw]" has been found in "C:\DOCUME~1\Fred\LOCALS~1\Temp\kyfkmrwa.dll" file.  
21/08/2007 08:24:58	SYSTEM	1304	Sign of "Win32:Vundo-gen48 [Adw]" has been found in "C:\Documents and Settings\Fred\Local Settings\Temporary Internet Files\Content.IE5\KX8HKDGZ\pzd[1]" file.  
21/08/2007 08:25:14	SYSTEM	1304	Sign of "Win32:Vundo-gen48 [Adw]" has been found in "C:\DOCUME~1\Fred\LOCALS~1\Temp\rsdrgyfb.dll" file.  


J'ai donc fait tourner CCleaner, puis AVG anti spywares (programmes que j'utilise frequement), mais j'ai oublier de save le rapport AVG (il y avait 3 files moyennement infectées que j'ai donc supprimé)

Voici le rapport de Bitdefender Online:
Scanned Files 164911
Infected Files 2
Virus Detected	
DeepScan:Generic.Virtumonde.1.4B346D8A
Trojan.Spy.Agent.HZ

(pendant le scan il a reussit a en supprimer un mais pas l'autre)

Voila le rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 09:51:18, on 21/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - C:\WINDOWS\system32\vtsqr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {CC358019-D328-40B4-8E2D-818CE142616C} - C:\WINDOWS\system32\awtstts.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtstts - C:\WINDOWS\SYSTEM32\awtstts.dll
O20 - Winlogon Notify: vtsqr - C:\WINDOWS\system32\vtsqr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe


En esperant ne plus etre infecté, je vous remercie d'avance pour la réponse ^^

ps: une autre question en passant: comment scanner et etre sur qu'un appareil photo numerique ne contien pas de trojan ou virus? en revenant du vietnam (branché a des pc locaux pour transfert de photos j'ai du etre infeté a ce moment la) le mien en contenait plusieurs apres l avoir branché sur le pc d'un amis (et non sur mon pc :p) nous avons fait un scan avec Avast qui les a supprimé, mais comment etre sur qu'il n'y en a plus (caché ou autre)

Regis59 · Answer

Salut

Si tu ne veux plus affecté, va falloir eviter les cracks.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

Double-clique VundoFix.exe afin de le lancer. 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

A+

Regis59 · Answer

Ok.

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe]
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Freed · Answer

Par curiosité j'ai refait un scan bitdefender voila les details:


C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Infected with: Trojan.Spy.Agent.HZ
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Disinfection Failed
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Deleted
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Infected with: DeepScan:Generic.Virtumonde.1.4B346D8A
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Disinfection Failed
C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Deleted
C:\WINDOWS\system32\ssqpn.dll Infected with: DeepScan:Generic.Virtumonde.1.315B1C3D
C:\WINDOWS\system32\ssqpn.dll Disinfection failed
C:\WINDOWS\system32\ssqpn.dll Delete Failed



sinon Avast me donne une alerte de cheval de troie en lancant Combofix

2007-08-21 14:31 Fred 1328 Sign of "Win32:Dadobra-EY [Trj]" has been found in "C:\ComboFix\Cfiles.cf" file. 

est-ce normal dois-je ignorer et continuer?

merci

Freed · Answer

bon j'ai croisé les doights et te fais confiance voila le rapport Combofix (malgres que avast n'ai pas vraimen apprécié a 3 reprises lol)

ComboFix 07-08-17.2 - "Fred" 2007-08-21 16:22:12.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.804 [GMT 2:00]
* Created a new restore point

((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))

2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 10:32 6,513 ---hs---- C:\WINDOWS\system32\npqss.bak1
2007-08-21 10:32 298,080 --a------ C:\WINDOWS\system32\ssqpn.dll
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA44A1A6-DA0F-4E72-832F-F8CA42D9E74A}]
2007-08-21 10:32 298080 --a------ C:\WINDOWS\system32\ssqpn.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}]
2007-08-20 17:33 43542 --a------ C:\WINDOWS\system32\awtstts.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{CC358019-D328-40B4-8E2D-818CE142616C}"= C:\WINDOWS\system32\awtstts.dll [2007-08-20 17:33 43542]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtstts]
awtstts.dll 2007-08-20 17:33 43542 C:\WINDOWS\system32\awtstts.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn]
C:\WINDOWS\system32\ssqpn.dll 2007-08-21 10:32 298080 C:\WINDOWS\system32\ssqpn.dll

R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
AutoRun\command- SCVVHSOT.exe
Open\command- SCVVHSOT.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 16:23:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-21 16:24:11

--- E O F ---

Freed · Answer

bump, toujours pas résolu sniff

Freed · Answer

En attendant sur ce forum sans rien faire de spécial Avast ma envoyé une alerte de trojan

Win32:Tiny-IF [Trj]

un de plus sans rien faire :s donc je suppose que je suis tjrs bien infecté

Regis59 · Answer

Re,

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve  ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32
pqss.bak1
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\awtstts.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Remet un hijackthis + un combofix

A+

Regis59 · Answer

Salut

remet un combofix en mode normal
Oui tu peux la fixer
et apres avoir mis le rapport oui tu peux les supprimer

a+

Freed · Answer

me revoila

voici le log combofix

ComboFix 07-08-17.2 - "Fred" 2007-08-26 10:52:54.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.844 [GMT 2:00]

((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))

2007-08-26 10:52 <REP> d-------- C:\WINDOWS\LastGood
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-08-22 09:03 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-08-22 09:03 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-08-22 09:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-08-22 08:48 <REP> d-------- C:\VundoFix Backups
2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
--------- C:\Program Files\Hijackthis Version Française

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
AutoRun\command- SCVVHSOT.exe
Open\command- SCVVHSOT.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-26 10:54:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-26 10:54:53
C:\ComboFix2.txt ... 2007-08-22 09:07

--- E O F ---

merci

Freed · Answer

sur le log Hijack puis-je  fix:

O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Regis59 · Answer

Salut,

Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de: SCVVHSOT.exe

- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient.

Freed · Answer

26/08/2007 ---- 11:07:36,34  

----------------------------------
§§§§§§ [SCVVHSOT.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command]
@="SCVVHSOT.exe"

[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command]
@="SCVVHSOT.exe"

[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute]
@="SCVVHSOT.exe"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Regis59 · Answer

Salut

Crée un point de restauration.

Ouvre le bloc note et copie/colle ceci: (regedit4 sur la 1ere ligne)

[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command]
@=-

[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command]
@=-

[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute]
@=-


Puis enregistrer sous et dans: 
Nom du fichier, met bureau.reg 
Type : sélectionne "tous les fichiers" 
clique sur enregistrer 

Double clique sur bureau.reg et accepte la fusion avec le registre.

A+

Freed · Answer

Mmmmm quand je dois fusionner j'ai une erreur:

Editeur de registre
Impossible d'importer blablabla\bureau.reg : le fichier specifie n'est pas un script de registre.
Vous pouvez uniquement importer des fichiers de Registre binaires a partir de l editeur de registre

je me suis trompé quelque part?

(j'ai pas compris dans ton message le regedit4 ligne 1)

merci pour tes reponses rapides ;)

Regis59 · Answer

Mince, j ai oublie une chose...

Tu as bien fait un point de restauration?

Ouvre le bloc note et copie/colle ceci: (regedit4 sur la 1ere ligne) 

REGEDIT4 

[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command]
@=-

[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command]
@=-

[HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute]
@=-

Puis enregistrer sous et dans:
Nom du fichier, met bureau.reg
Type : sélectionne "tous les fichiers"
clique sur enregistrer

Double clique sur bureau.reg et accepte la fusion avec le registre.

A+

Freed · Answer

Créer un point de restauration systeme cad? je ne me rappelle plus comment on fait dsl :'(

Freed · Answer

ok c'est bon

(un coup de google pour rafraichir les souvenirs sur la restauration systeme hihi)


donc point de restau fait, et fusion de bureau.reg effectuée avec succes!

que dois-je faire maintenant? ^^

Regis59 · Answer

Salut

Super :-)

Ou en sont tes soucis.?

Freed · Answer

A priori plus aucuns ;)

j'ai redémarer le pc et refait un scan OAD, il ne trouve plus rien.

Je suppose que l'infection a été exterminée!

Je vais faire un dernier nettoyage apres ça et scan bitdefender etc


Me conseille tu de changer d'antivirus? j'ai Avast et en trainant sur les forums securité certains preferent Antivir, plus performant?



Sur mon dernier scan hijack dois-je fixer les lignes:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)


?

merci beaucoup ^^

Regis59 · Answer

Re,

Ca correspond au scan online de bitdefender, tu peux le laisser.

Je te conseille de changer d antivirus oui et d'installer Antivir.
D'ailleurs, si tu veux te faire ta propre opinion, une lecture de 10/15min ici:
changer avast pourquoi explications#dernier

A+

Freed · Answer

ok merci de l'info j'avais deja lu quelques post de Malekal, je pense donc changer pour antivir, par contre ou puis-je trouver un tuto en francais pour bien le configurer? (et quel site pour telecharger la derniere version a jour?)

merci a toi regis!!

Regis59 · Answer

Re,

Chez malekal y a tout :-)

https://www.malekal.com/avira-free-security-antivirus-gratuit/

A+ si tu as besoin.

PS: tu peux laisser ton avis sur le poste au dessu, je t en remercie :-)

Freed · Answer

Bon tout les scans (CCleaner,adaware,avg,bitdefenders) finis et plus rien de détecté!! je te remercie, pb résolu ;)

je vais m'installer Antivir ;)

Freed · Answer

re, juste pour information, antivir marche niquel sur mon PC mais sur mon portable je n'ai pas la petite icone en barre des taches d'affichée.. normal?

Freed · Answer

j'ai tout simplement réinstallé et c'est bon lol dslé

Regis59 · Answer

LOL

Pas de problemes :)

Sinon, pourras tu mettre ton avis sur antivir ici:
changer avast pourquoi explications#dernier

Merci.

A+

panda · Answer

Slt à tous.
G 1 gros blèm avec mon espace disque dur, GT à 78% d'espace libre et du jour au lendemain sans rien rien faire me retrouve avec 39%. G supprimé pleins de fichiers et même des programmes mais rien ni fait. G télécharger CCleaner pour faire le ménage mais pas plus d'espace, rien ne change à vrai dire G descendu à 38% ???????? sniff,sniff. Je précise que je suis 1 novice en informatik. Merci si qlq peux m'aider

[Trojan-Virus] Vundo-gen et Agent-HZR

27 réponses

Discussions similaires

Newsletters