[Trojan-Virus] Vundo-gen et Agent-HZR

Résolu
Freed -  
 panda -
Bonjour, hier mon antivirus a détecté plusieurs Trojan/Virus, et ce matin aussi donc j'ai suivi le tutoriel et voila mes scans si vous pouvez m'aider a déterminer si je suis toujours infecté ou pas.

J'ai windows xp sp2, et généralemen j'utilise firefox

Tout dabord voila les alertes enregistrées par AVAST:

20/08/2007 17:33:37 SYSTEM 1416 Sign of "Win32:Agent-HZR [Trj]" has been found in "C:\DOCUME~1\Fred\LOCALS~1\Temp\Rar$DR02.093\crack.exe" file.
20/08/2007 17:38:58 SYSTEM 1416 Sign of "Win32:Vundo-gen47 [Adw]" has been found in "C:\WINDOWS\system32\vtstt.dll" file.
21/08/2007 08:19:20 SYSTEM 1304 Sign of "Win32:Tiny-IF [Trj]" has been found in "C:\DOCUME~1\Fred\LOCALS~1\Temp\eysajhjy.exe" file.
21/08/2007 08:21:58 SYSTEM 1304 Sign of "Win32:Vundo-gen48 [Adw]" has been found in "C:\Documents and Settings\Fred\Local Settings\Temporary Internet Files\Content.IE5\Y2EQEEJK\gepj[1]" file.
21/08/2007 08:22:05 SYSTEM 1304 Sign of "Win32:Vundo-gen48 [Adw]" has been found in "C:\DOCUME~1\Fred\LOCALS~1\Temp\kyfkmrwa.dll" file.
21/08/2007 08:24:58 SYSTEM 1304 Sign of "Win32:Vundo-gen48 [Adw]" has been found in "C:\Documents and Settings\Fred\Local Settings\Temporary Internet Files\Content.IE5\KX8HKDGZ\pzd[1]" file.
21/08/2007 08:25:14 SYSTEM 1304 Sign of "Win32:Vundo-gen48 [Adw]" has been found in "C:\DOCUME~1\Fred\LOCALS~1\Temp\rsdrgyfb.dll" file.

J'ai donc fait tourner CCleaner, puis AVG anti spywares (programmes que j'utilise frequement), mais j'ai oublier de save le rapport AVG (il y avait 3 files moyennement infectées que j'ai donc supprimé)

Voici le rapport de Bitdefender Online:
Scanned Files 164911
Infected Files 2
Virus Detected
DeepScan:Generic.Virtumonde.1.4B346D8A
Trojan.Spy.Agent.HZ

(pendant le scan il a reussit a en supprimer un mais pas l'autre)

Voila le rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 09:51:18, on 21/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - C:\WINDOWS\system32\vtsqr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {CC358019-D328-40B4-8E2D-818CE142616C} - C:\WINDOWS\system32\awtstts.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtstts - C:\WINDOWS\SYSTEM32\awtstts.dll
O20 - Winlogon Notify: vtsqr - C:\WINDOWS\system32\vtsqr.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

En esperant ne plus etre infecté, je vous remercie d'avance pour la réponse ^^

ps: une autre question en passant: comment scanner et etre sur qu'un appareil photo numerique ne contien pas de trojan ou virus? en revenant du vietnam (branché a des pc locaux pour transfert de photos j'ai du etre infeté a ce moment la) le mien en contenait plusieurs apres l avoir branché sur le pc d'un amis (et non sur mon pc :p) nous avons fait un scan avec Avast qui les a supprimé, mais comment etre sur qu'il n'y en a plus (caché ou autre)
Configuration: Windows XP
Firefox 2.0.0.6

27 réponses

  • 1
  • 2
  1. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Si tu ne veux plus affecté, va falloir eviter les cracks.

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4

    Double-clique VundoFix.exe afin de le lancer.
    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau.
    Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

    A+
    0
    1. Freed
       
      Bonjour Regis59 merci de ta reponse rapide.

      voila le log vundofix:

      VundoFix V6.5.7

      Checking Java version...

      Scan started at 10:24:26 21/08/2007

      Listing files found while scanning....

      C:\WINDOWS\system32\rqstv.bak1
      C:\WINDOWS\system32\rqstv.bak2
      C:\WINDOWS\system32\rqstv.ini
      C:\WINDOWS\system32\vtsqr.dll

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\rqstv.bak1
      C:\WINDOWS\system32\rqstv.bak1 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rqstv.bak2
      C:\WINDOWS\system32\rqstv.bak2 Has been deleted!

      Attempting to delete C:\WINDOWS\system32\rqstv.ini
      C:\WINDOWS\system32\rqstv.ini Has been deleted!

      Attempting to delete C:\WINDOWS\system32\vtsqr.dll
      C:\WINDOWS\system32\vtsqr.dll Has been deleted!

      Performing Repairs to the registry.
      Done!


      et le hijackthis:

      Logfile of HijackThis v1.99.1
      Scan saved at 10:28:51, on 21/08/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
      C:\WINDOWS\system32\wuauclt.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - C:\WINDOWS\system32\vtsqr.dll (file missing)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: (no name) - {CC358019-D328-40B4-8E2D-818CE142616C} - C:\WINDOWS\system32\awtstts.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: awtstts - C:\WINDOWS\SYSTEM32\awtstts.dll
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
      0
    2. Freed
       
      suis-je toujours infecté?
      0
  2. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Ok.

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe]
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    0
    1. Freed
       
      Avast me donne une alerte de cheval de troie en lancant Combofix

      2007-08-21 14:31 Fred 1328 Sign of "Win32:Dadobra-EY [Trj]" has been found in "C:\ComboFix\Cfiles.cf" file.


      est-ce normal dois-je continuer? (j'ai tout stopper et supprimer avec avast au cas ou)
      0
  3. Freed
     
    Par curiosité j'ai refait un scan bitdefender voila les details:

    C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Infected with: Trojan.Spy.Agent.HZ
    C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Disinfection Failed
    C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011790.exe Deleted
    C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Infected with: DeepScan:Generic.Virtumonde.1.4B346D8A
    C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Disinfection Failed
    C:\System Volume Information\_restore{22C0D2D9-5C79-4E29-AE47-6312543050C1}\RP101\A0011805.ddl Deleted
    C:\WINDOWS\system32\ssqpn.dll Infected with: DeepScan:Generic.Virtumonde.1.315B1C3D
    C:\WINDOWS\system32\ssqpn.dll Disinfection failed
    C:\WINDOWS\system32\ssqpn.dll Delete Failed

    sinon Avast me donne une alerte de cheval de troie en lancant Combofix

    2007-08-21 14:31 Fred 1328 Sign of "Win32:Dadobra-EY [Trj]" has been found in "C:\ComboFix\Cfiles.cf" file.

    est-ce normal dois-je ignorer et continuer?

    merci
    0
  4. Freed
     
    bon j'ai croisé les doights et te fais confiance voila le rapport Combofix (malgres que avast n'ai pas vraimen apprécié a 3 reprises lol)

    ComboFix 07-08-17.2 - "Fred" 2007-08-21 16:22:12.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.804 [GMT 2:00]
    * Created a new restore point

    ((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))

    2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-08-21 10:32 6,513 ---hs---- C:\WINDOWS\system32\npqss.bak1
    2007-08-21 10:32 298,080 --a------ C:\WINDOWS\system32\ssqpn.dll
    2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
    2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
    2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll
    2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
    2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
    2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
    2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
    2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
    2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
    2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
    2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
    2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
    2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
    2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
    2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
    --------- C:\Program Files\Hijackthis Version Française

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA44A1A6-DA0F-4E72-832F-F8CA42D9E74A}]
    2007-08-21 10:32 298080 --a------ C:\WINDOWS\system32\ssqpn.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}]
    2007-08-20 17:33 43542 --a------ C:\WINDOWS\system32\awtstts.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
    "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{CC358019-D328-40B4-8E2D-818CE142616C}"= C:\WINDOWS\system32\awtstts.dll [2007-08-20 17:33 43542]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtstts]
    awtstts.dll 2007-08-20 17:33 43542 C:\WINDOWS\system32\awtstts.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn]
    C:\WINDOWS\system32\ssqpn.dll 2007-08-21 10:32 298080 C:\WINDOWS\system32\ssqpn.dll

    R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
    AutoRun\command- SCVVHSOT.exe
    Open\command- SCVVHSOT.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-21 16:23:26
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-08-21 16:24:11

    --- E O F ---
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Freed
     
    En attendant sur ce forum sans rien faire de spécial Avast ma envoyé une alerte de trojan

    Win32:Tiny-IF [Trj]

    un de plus sans rien faire :s donc je suppose que je suis tjrs bien infecté
    0
  7. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Re,

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    C:\WINDOWS\system32\npqss.bak1
    C:\WINDOWS\system32\ssqpn.dll
    C:\WINDOWS\system32\awtstts.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    Remet un hijackthis + un combofix

    A+
    0
    1. Freed
       
      merci regis!! en 10min j'ai subiit pas mal d'attaques bloquées par avast là

      Rapport de OTmoveit apres reboot:

      C:\WINDOWS\system32\npqss.bak1 moved successfully.
      DllUnregisterServer procedure not found in C:\WINDOWS\system32\ssqpn.dll
      C:\WINDOWS\system32\ssqpn.dll NOT unregistered.
      File move failed. C:\WINDOWS\system32\ssqpn.dll scheduled to be moved on reboot.
      DllUnregisterServer procedure not found in C:\WINDOWS\system32\awtstts.dll
      C:\WINDOWS\system32\awtstts.dll NOT unregistered.
      File move failed. C:\WINDOWS\system32\awtstts.dll scheduled to be moved on reboot.

      Created on 08/21/2007 22:54:58


      Rapport Hijackthis:

      Logfile of HijackThis v1.99.1
      Scan saved at 22:59:02, on 21/08/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: (no name) - {A9EDE1DD-E49C-43DA-A921-355FEFC4FCE9} - C:\WINDOWS\system32\ssqpn.dll
      O2 - BHO: (no name) - {CC358019-D328-40B4-8E2D-818CE142616C} - C:\WINDOWS\system32\awtstts.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O20 - Winlogon Notify: awtstts - C:\WINDOWS\SYSTEM32\awtstts.dll
      O20 - Winlogon Notify: ssqpn - C:\WINDOWS\system32\ssqpn.dll
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe


      Rappport Combofix:

      ComboFix 07-08-17.2 - "Fred" 2007-08-21 22:59:36.2 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.863 [GMT 2:00]


      ((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))


      2007-08-21 22:32 753,851 ---hs---- C:\WINDOWS\system32\npqss.bak2
      2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
      2007-08-21 20:44 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
      2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
      2007-08-21 10:32 298,080 --a------ C:\WINDOWS\system32\ssqpn.dll
      2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
      2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll
      2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
      2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
      2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll


      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

      2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
      2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
      2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
      2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
      2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
      2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
      2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
      2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
      2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
      2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
      2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
      2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
      2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
      2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
      2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
      2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
      --------- C:\Program Files\Hijackthis Version Française


      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


      *Note* empty entries & legit default entries are not shown

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A9EDE1DD-E49C-43DA-A921-355FEFC4FCE9}]
      2007-08-21 10:32 298080 --a------ C:\WINDOWS\system32\ssqpn.dll

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}]
      2007-08-20 17:33 43542 --a------ C:\WINDOWS\system32\awtstts.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
      "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
      "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      "{CC358019-D328-40B4-8E2D-818CE142616C}"= C:\WINDOWS\system32\awtstts.dll [2007-08-20 17:33 43542]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtstts]
      awtstts.dll 2007-08-20 17:33 43542 C:\WINDOWS\system32\awtstts.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpn]
      C:\WINDOWS\system32\ssqpn.dll 2007-08-21 10:32 298080 C:\WINDOWS\system32\ssqpn.dll

      R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
      S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS


      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
      AutoRun\command- SCVVHSOT.exe
      Open\command- SCVVHSOT.exe


      **************************************************************************

      catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2007-08-21 23:00:52
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      Completion time: 2007-08-21 23:01:39
      C:\ComboFix2.txt ... 2007-08-21 16:24

      --- E O F ---


      voila voila ^^
      0
    2. Freed
       
      je suis absent 4 jours, mais je reviensdrais sur ce forum a mon retour, a bientot
      0
    3. Freed
       
      Avant de partir je suis tombé sur le Post de Green Day "supprimer vundo et virtumonde"
      supprimer le trojan vundo virtumonde

      j'ai donc appliqué a la lettre,

      scan bitdefender:

      BitDefender Online Scanner - Real Time Virus Report
      Generated at: Wed, Aug 22, 2007 - 08:46:01
      Scan Info
      Scanned Files 181218
      Infected Files 2
      Virus Detected
      Trojan.Vundo.DMU
      DeepScan:Generic.Virtumonde.1.315B1C3D

      puis vundofix:

      VundoFix V6.5.7
      Checking Java version...
      Scan started at 08:48:21 22/08/2007
      Listing files found while scanning....
      C:\WINDOWS\system32\npqss.bak2
      C:\WINDOWS\system32\npqss.ini
      C:\WINDOWS\system32\ssqpn.dll
      Beginning removal...
      Attempting to delete C:\WINDOWS\system32\npqss.bak2
      C:\WINDOWS\system32\npqss.bak2 Has been deleted!
      Attempting to delete C:\WINDOWS\system32\npqss.ini
      C:\WINDOWS\system32\npqss.ini Has been deleted!
      Attempting to delete C:\WINDOWS\system32\ssqpn.dll
      C:\WINDOWS\system32\ssqpn.dll Has been deleted!
      Performing Repairs to the registry.
      Done!

      Apres ca la ligne O2 avec ssqpn.dll en Hijackthis était en (no name) (file missing) je l'ai donc fix it

      enssuite j'ai fait le VundoBeGone:

      [08/22/2007, 8:55:31] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Fred\Bureau\VirtumundoBeGone.exe" )
      [08/22/2007, 8:55:39] - Detected System Information:
      [08/22/2007, 8:55:39] - Windows Version: 5.1.2600, Service Pack 2
      [08/22/2007, 8:55:39] - Current Username: Fred (Admin)
      [08/22/2007, 8:55:39] - Windows is in NORMAL mode.
      [08/22/2007, 8:55:39] - Searching for Browser Helper Objects:
      [08/22/2007, 8:55:39] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
      [08/22/2007, 8:55:39] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
      [08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [08/22/2007, 8:55:39] - No filename found. Continuing.
      [08/22/2007, 8:55:39] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
      [08/22/2007, 8:55:39] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
      [08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [08/22/2007, 8:55:39] - No filename found. Continuing.
      [08/22/2007, 8:55:39] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
      [08/22/2007, 8:55:39] - BHO 6: {CC358019-D328-40B4-8E2D-818CE142616C} ()
      [08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [08/22/2007, 8:55:39] - Checking for HKLM\...\Winlogon\Notify\awtstts
      [08/22/2007, 8:55:39] - Found: HKLM\...\Winlogon\Notify\awtstts - This is probably Virtumundo.
      [08/22/2007, 8:55:39] - Assigning {CC358019-D328-40B4-8E2D-818CE142616C} MSEvents Object
      [08/22/2007, 8:55:39] - BHO list has been changed! Starting over...
      [08/22/2007, 8:55:39] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
      [08/22/2007, 8:55:39] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
      [08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [08/22/2007, 8:55:39] - No filename found. Continuing.
      [08/22/2007, 8:55:39] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
      [08/22/2007, 8:55:39] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
      [08/22/2007, 8:55:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [08/22/2007, 8:55:39] - No filename found. Continuing.
      [08/22/2007, 8:55:39] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
      [08/22/2007, 8:55:39] - BHO 6: {CC358019-D328-40B4-8E2D-818CE142616C} (MSEvents Object)
      [08/22/2007, 8:55:39] - ALERT: Found MSEvents Object!
      [08/22/2007, 8:55:39] - Finished Searching Browser Helper Objects
      [08/22/2007, 8:55:39] - *** Detected MSEvents Object
      [08/22/2007, 8:55:39] - Trying to remove MSEvents Object...
      [08/22/2007, 8:55:40] - Terminating Process: IEXPLORE.EXE
      [08/22/2007, 8:55:41] - Terminating Process: RUNDLL32.EXE
      [08/22/2007, 8:55:41] - Disabling Automatic Shell Restart
      [08/22/2007, 8:55:41] - Terminating Process: EXPLORER.EXE
      [08/22/2007, 8:55:41] - Suspending the NT Session Manager System Service
      [08/22/2007, 8:55:41] - Terminating Windows NT Logon/Logoff Manager
      [08/22/2007, 8:55:41] - Re-enabling Automatic Shell Restart
      [08/22/2007, 8:55:41] - File to disable: C:\WINDOWS\system32\awtstts.dll
      [08/22/2007, 8:55:41] - Renaming C:\WINDOWS\system32\awtstts.dll -> C:\WINDOWS\system32\awtstts.dll.vir
      [08/22/2007, 8:55:41] - File successfully renamed!
      [08/22/2007, 8:55:41] - Removing HKLM\...\Browser Helper Objects\{CC358019-D328-40B4-8E2D-818CE142616C}
      [08/22/2007, 8:55:41] - Removing HKCR\CLSID\{CC358019-D328-40B4-8E2D-818CE142616C}
      [08/22/2007, 8:55:42] - Adding Kill Bit for ActiveX for GUID: {CC358019-D328-40B4-8E2D-818CE142616C}
      [08/22/2007, 8:55:42] - Deleting ATLEvents/MSEvents Registry entries
      [08/22/2007, 8:55:42] - Removing HKLM\...\Winlogon\Notify\awtstts
      [08/22/2007, 8:55:42] - Searching for Browser Helper Objects:
      [08/22/2007, 8:55:42] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
      [08/22/2007, 8:55:42] - BHO 2: {1849207E-CF8B-4B8A-B60C-A9C05AF73383} ()
      [08/22/2007, 8:55:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [08/22/2007, 8:55:42] - No filename found. Continuing.
      [08/22/2007, 8:55:42] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
      [08/22/2007, 8:55:42] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
      [08/22/2007, 8:55:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
      [08/22/2007, 8:55:42] - No filename found. Continuing.
      [08/22/2007, 8:55:42] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
      [08/22/2007, 8:55:42] - Finished Searching Browser Helper Objects
      [08/22/2007, 8:55:42] - Finishing up...
      [08/22/2007, 8:55:42] - A restart is needed.
      [08/22/2007, 8:55:50] - Attempting to Restart via STOP error (Blue Screen!)


      puis ComboFix en mode sans echec:

      ComboFix 07-08-17.2 - "Administrateur" 2007-08-22 9:05:27.3 - NTFSx86 MINIMAL
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1055 [GMT 2:00]


      ((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))


      2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
      2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
      2007-08-22 09:03 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
      2007-08-22 09:03 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
      2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
      2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
      2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
      2007-08-22 09:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
      2007-08-22 08:48 <REP> d-------- C:\VundoFix Backups
      2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
      2007-08-21 20:44 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
      2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
      2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
      2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
      2007-08-20 17:33 43,542 --a------ C:\WINDOWS\system32\awtstts.dll.vir
      2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
      2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
      2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll


      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

      2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
      2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
      2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
      2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
      2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
      2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
      2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
      2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
      2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
      2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
      2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
      2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
      2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
      2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
      --------- C:\Program Files\Hijackthis Version Française


      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


      *Note* empty entries & legit default entries are not shown

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
      "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
      "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09]

      S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
      S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS


      **************************************************************************

      catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2007-08-22 09:06:37
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      Completion time: 2007-08-22 9:07:17

      --- E O F ---


      et voila le dernier rapport Hijack:


      Logfile of HijackThis v1.99.1
      Scan saved at 09:09:56, on 22/08/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
      C:\Program Files\MSN Messenger\MsnMsgr.Exe
      C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://televisionsurpc.neuf.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
      O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

      il n'y a plus les dll du virus en O20 ni en O2 donc je suppose qu'il a été éradiqué avec succes?

      Dites si je me trompe (je verais a mon retour dans 4jours)

      Et dois-je Fix avec Hijack les lignes O2 ou il y a (no name) (no file) ?

      Merci
      0
    4. Freed
       
      dois-je aussi supprimer les dossiers vundo - combo - otmoveit etc dans c: ?

      enfin si le virus est bien eradiqué ;)
      0
  8. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    remet un combofix en mode normal
    Oui tu peux la fixer
    et apres avoir mis le rapport oui tu peux les supprimer

    a+
    0
  9. Freed
     
    me revoila

    voici le log combofix

    ComboFix 07-08-17.2 - "Fred" 2007-08-26 10:52:54.4 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.844 [GMT 2:00]

    ((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))

    2007-08-26 10:52 <REP> d-------- C:\WINDOWS\LastGood
    2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
    2007-08-22 09:04 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
    2007-08-22 09:03 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
    2007-08-22 09:03 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
    2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
    2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
    2007-08-22 09:03 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
    2007-08-22 09:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
    2007-08-22 08:48 <REP> d-------- C:\VundoFix Backups
    2007-08-21 21:29 <REP> d-------- C:\Program Files\Panda Security
    2007-08-21 14:31 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-08-21 09:02 <REP> d-------- C:\WINDOWS\BDOSCAN8
    2007-08-21 08:52 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
    2007-08-20 16:34 <REP> d-------- C:\WINDOWS\ShellNew
    2007-08-20 16:12 <REP> d-------- C:\Program Files\CDex_150
    2007-08-20 11:45 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-20 17:40 --------- d--h----- C:\Program Files\InstallShield Installation Information
    2007-08-20 13:18 --------- d-------- C:\Program Files\WowCartographe
    2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
    2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
    2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
    2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
    2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
    2007-07-06 19:06 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\teamspeak2
    2007-06-27 16:23 --------- d-------- C:\Program Files\Real Alternative
    2007-06-27 16:23 --------- d-------- C:\DOCUME~1\Fred\APPLIC~1\Real
    2007-06-27 16:15 --------- d-------- C:\Program Files\Matroska Pack
    2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
    2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
    2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
    --------- C:\Program Files\Hijackthis Version Française

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1849207E-CF8B-4B8A-B60C-A9C05AF73383}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
    "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 C:\WINDOWS\system32\bthprops.cpl]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]

    R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}]
    AutoRun\command- SCVVHSOT.exe
    Open\command- SCVVHSOT.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-26 10:54:11
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-08-26 10:54:53
    C:\ComboFix2.txt ... 2007-08-22 09:07

    --- E O F ---

    merci
    0
  10. Freed
     
    sur le log Hijack puis-je fix:

    O2 - BHO: (no name) - {1849207E-CF8B-4B8A-B60C-A9C05AF73383} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    0
  11. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut,

    Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
    - Enregistre le sur ton bureau

    Double clique sur le OAD pour le lancer

    - nom de fichier à rechercher tape ou fais un copier coller de: SCVVHSOT.exe

    - Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
    Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

    - Fais un copier / coller de ce rapport dans ton prochain post.

    Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient.
    0
  12. Freed
     
    26/08/2007 ---- 11:07:36,34

    ----------------------------------
    §§§§§§ [SCVVHSOT.exe] §§§§§§
    ----------------------------------
    [X] Registre

    -------------- [ ] rapide
    -- Fichier --- [ ] disque systeme
    ------------- [X] complete

    ********************
    [Registre]
    ********************

    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command]
    @="SCVVHSOT.exe"

    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command]
    @="SCVVHSOT.exe"

    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute]
    @="SCVVHSOT.exe"

    *******************
    [Fichier]
    *******************

    *********************
    [Même date]
    *********************

    Aucun fichier créé à la même date détecté

    Outil Aide Diagnostic By !aur3n7 Version 1.1
    ----------------------------------
    §§§§§ Fin Rapport §§§§§
    ----------------------------------
    0
  13. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Crée un point de restauration.

    Ouvre le bloc note et copie/colle ceci: (regedit4 sur la 1ere ligne)

    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command]
    @=-
    
    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command]
    @=-
    
    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute]
    @=-
    


    Puis enregistrer sous et dans:
    Nom du fichier, met bureau.reg
    Type : sélectionne "tous les fichiers"
    clique sur enregistrer

    Double clique sur bureau.reg et accepte la fusion avec le registre.

    A+
    0
  14. Freed
     
    Mmmmm quand je dois fusionner j'ai une erreur:

    Editeur de registre
    Impossible d'importer blablabla\bureau.reg : le fichier specifie n'est pas un script de registre.
    Vous pouvez uniquement importer des fichiers de Registre binaires a partir de l editeur de registre

    je me suis trompé quelque part?

    (j'ai pas compris dans ton message le regedit4 ligne 1)

    merci pour tes reponses rapides ;)
    0
  15. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Mince, j ai oublie une chose...

    Tu as bien fait un point de restauration?

    Ouvre le bloc note et copie/colle ceci: (regedit4 sur la 1ere ligne)

    REGEDIT4 
    
    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\AutoRun\command]
    @=-
    
    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shell\Open\command]
    @=-
    
    [HKEY_USERS\S-1-5-21-1993962763-1592454029-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca0e14fb-4f04-11dc-960a-000b6a3b1fb8}\Shellexe cute]
    @=-


    Puis enregistrer sous et dans:
    Nom du fichier, met bureau.reg
    Type : sélectionne "tous les fichiers"
    clique sur enregistrer

    Double clique sur bureau.reg et accepte la fusion avec le registre.

    A+
    0
  16. Freed
     
    Créer un point de restauration systeme cad? je ne me rappelle plus comment on fait dsl :'(
    0
  17. Freed
     
    ok c'est bon

    (un coup de google pour rafraichir les souvenirs sur la restauration systeme hihi)

    donc point de restau fait, et fusion de bureau.reg effectuée avec succes!

    que dois-je faire maintenant? ^^
    0
  18. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Salut

    Super :-)

    Ou en sont tes soucis.?
    0
  19. Freed
     
    A priori plus aucuns ;)

    j'ai redémarer le pc et refait un scan OAD, il ne trouve plus rien.

    Je suppose que l'infection a été exterminée!

    Je vais faire un dernier nettoyage apres ça et scan bitdefender etc

    Me conseille tu de changer d'antivirus? j'ai Avast et en trainant sur les forums securité certains preferent Antivir, plus performant?

    Sur mon dernier scan hijack dois-je fixer les lignes:

    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

    ?

    merci beaucoup ^^
    0
  20. Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 349
     
    Re,

    Ca correspond au scan online de bitdefender, tu peux le laisser.

    Je te conseille de changer d antivirus oui et d'installer Antivir.
    D'ailleurs, si tu veux te faire ta propre opinion, une lecture de 10/15min ici:
    changer avast pourquoi explications#dernier

    A+
    0
  • 1
  • 2