SVP ! Virus qui ralantisse ma machine

Question

Bonjour , j'ai etait infesté pa le virus " photo " il y a quelque jour de cela ,helas en cherchant a le viré de mon ordi je suis tombé sur une page qui proposé de faire une analyse en ligne , et qu'il fallait telecharger des dll pour cela , se que j'ai fait .
le nom de ce soit disant antivirus en ligne s'appeler Défender , malheureusement c'était le telechargement de ces "dll" on infecté mo ordinateur bien plus que se qu'ilétait deja ...
je me suis débarrassé "je panse" du virus "photo" qui s'apeler chez moi "IMG0024"
mais j'ai depuis de bien plus gros probleme ... :
- Une page me demmanden de travailler hors connexion ou ps ne s'arrete pas de s'ouvrir a chaque démarrage de window
- Mon clavier ne repond plus correctemet 
- Window semble exessivement long à démarré
- j'ai des publicité intempestives qui s'ouvre dé que jutilise IE
- Spybot , Ad-aware , trouve des troyens a chaque redémarrage de mon ordinateur ..
- Avast n'arrete plus de ce déclanché me préenant d'attaque troyens que je supprime bien evidament

j'ai deja lancé un appel sur votre site car j'ai vu que dans la majorité des cas les personne qui repondé samblé motivé pour aider les personne dans mon cas . et j'ai pu lire aussi qu'une tres grande majorité des cas comme le mien etait resolue
mais helas la personne qui m'avais repondu ici ne pas donné l'impression de vouloir cherchez reelement quels etait mais probleme et ma dirigé tout simplement sur l'achat de "kapersky" ou de "bit defender""

j'ai des données importentes à mes yeux sur cette machine , je suis dans une situations financiere qui ne me permet pas d'acheter quelque logiciels de protection ou d'OS quelqu'il soit , je n'ai actuellement meme pas la possibilité de payer une reparation chez un specialiste du genre ..

Votre dévouement , votre patiance , votre connaissance , et votre ingeniosité a combattre ces sale virus son pour moi la seul soluton a court ou moyens terme 
je ne sais pas du tout utilisé Hijack this mais j'ai un peu tripatouiller essayant de me débrouiller tout seul puisque jusqu'a present personne ne ma reellement repondu ...
je vais etre honnete je sais pas trop si ce que j'ai fait et bien ou mal mais ca na rien modifier a on probleme 'surement car car je n'ai pas tout compris a ce logiciel " meme si j'ai reccupéré de la docu sur "zebulon" un site vers lequel hijack this ma renvoyer ... bref 
voici le dernier logfile de ce logiciel si kelk'un peu m'aider vraiment je ne saurai que trop le remercier ...

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:39:56, on 13/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\c\Bureau\HiJackThis_v2.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\ssqrpnk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497} - C:\WINDOWS\system32\vtstq.dll
O2 - BHO: (no name) - {93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eyeBeam SIP Client] "C:\Program Files\CounterPath\X-Lite\x-lite.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ssqrpnk - C:\WINDOWS\SYSTEM32\ssqrpnk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

papyber · Answer

il serait bon de dire ce que tu as exactement fait avec Hijack this 
je regarde ton rapport

papyber · Answer

vu
on devrait nettoyer cela sans trop de soucis
Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
clic double sur VundoFix.exe afin de le lancer
clic sur le bouton Scan for Vundo
Lorsque le scan est complété, clic sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clic YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
 Tu verras une invite qui t'annonce que ton PC va redémarrer; 
clic OK
 Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clic sur le bouton Scan for Vundo".
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

numa · Answer

bonjour en effet infection vundo
donc faire ceci

Télécharge sur le Bureau.
[url=http://www.atribune.org/ccount/click.php?id=4]vundofix|/url]

=> Double-clic VundoFix.exe.
=> Clic OK
=> Attendre le redemarrage de Vundofix
=> Clic Scan for Vundo
=> Le scan est assez long , à la fin
=> Clic Remove Vundo
=> Puis yes
=> Le Bureau disparaît un moment lors de la suppression des fichiers.
=> Message shutdown
=> clic OK
=> Redémarrage auto
=> copier le rapport qui est dans C:vundofix.txt

Télécharger sur le bureau
[url=http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe]VirtumundoBeGone.exe[/url]
=Double clic sur VirtumundoBeGone.exe
=clic Continue ==> clic Start
=clic Oui
=A la fin si Vundo est présent , le PC s’éteint et redémarre

Si Ecran bleu et message : Erreur fatale .. pas de problème

=Poster le rapport VBG.TXT qui est sur le bureau


poste les rapport directement stp : sans le code.

Chalderick · Answer

la version que vous mavez fait telecharger et la V6.5.8 mai il ne trouve rien il me dit :
done searching for files .
done searching fro files. No infected files were found .

je fait quoi ?

Chalderick · Answer

VundoFix V6.5.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 22:19:41 13/09/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.5.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 22:21:57 13/09/2007

Listing files found while scanning....

Chalderick · Answer

voici le log de VirtumundoBeGone
il a effectivement redémarer mon pc 


[09/13/2007, 22:47:07] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\c\Bureau\VirtumundoBeGone.exe" )
[09/13/2007, 22:47:16] - Detected System Information:
[09/13/2007, 22:47:16] -  Windows Version: 5.1.2600, Service Pack 2
[09/13/2007, 22:47:16] -  Current Username: c (Admin)
[09/13/2007, 22:47:16] -  Windows is in NORMAL mode.
[09/13/2007, 22:47:16] - Searching for Browser Helper Objects:
[09/13/2007, 22:47:16] -  BHO 1: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[09/13/2007, 22:47:16] -  BHO 2: {733E9132-53CA-4C97-9AC9-145C4502FA20} ()
[09/13/2007, 22:47:16] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/13/2007, 22:47:16] -  Checking for HKLM\...\Winlogon\Notify\ssqrpnk
[09/13/2007, 22:47:16] -  Found: HKLM\...\Winlogon\Notify\ssqrpnk - This is probably Virtumundo.
[09/13/2007, 22:47:16] -  Assigning {733E9132-53CA-4C97-9AC9-145C4502FA20} MSEvents Object
[09/13/2007, 22:47:16] - BHO list has been changed! Starting over...
[09/13/2007, 22:47:16] -  BHO 1: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[09/13/2007, 22:47:16] -  BHO 2: {733E9132-53CA-4C97-9AC9-145C4502FA20} (MSEvents Object)
[09/13/2007, 22:47:16] - ALERT: Found MSEvents Object!
[09/13/2007, 22:47:16] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/13/2007, 22:47:16] -  BHO 4: {8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497} ()
[09/13/2007, 22:47:16] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/13/2007, 22:47:16] -  Checking for HKLM\...\Winlogon\Notify\vtstq
[09/13/2007, 22:47:16] -  Key not found: HKLM\...\Winlogon\Notify\vtstq, continuing.
[09/13/2007, 22:47:16] -  BHO 5: {93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A} ()
[09/13/2007, 22:47:16] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/13/2007, 22:47:16] -  No filename found. Continuing.
[09/13/2007, 22:47:16] - Finished Searching Browser Helper Objects
[09/13/2007, 22:47:16] - *** Detected MSEvents Object
[09/13/2007, 22:47:16] - Trying to remove MSEvents Object...
[09/13/2007, 22:47:17] -    Terminating Process: IEXPLORE.EXE
[09/13/2007, 22:47:18] -    Terminating Process: RUNDLL32.EXE
[09/13/2007, 22:47:18] -    Disabling Automatic Shell Restart
[09/13/2007, 22:47:18] -    Terminating Process: EXPLORER.EXE
[09/13/2007, 22:47:18] -    Suspending the NT Session Manager System Service
[09/13/2007, 22:47:19] -    Terminating Windows NT Logon/Logoff Manager
[09/13/2007, 22:47:19] -    Re-enabling Automatic Shell Restart
[09/13/2007, 22:47:19] -   File to disable: C:\WINDOWS\system32\ssqrpnk.dll
[09/13/2007, 22:47:19] -  Renaming C:\WINDOWS\system32\ssqrpnk.dll -> C:\WINDOWS\system32\ssqrpnk.dll.vir
[09/13/2007, 22:47:19] -  File successfully renamed!
[09/13/2007, 22:47:19] -   Removing HKLM\...\Browser Helper Objects\{733E9132-53CA-4C97-9AC9-145C4502FA20}
[09/13/2007, 22:47:19] -   Removing HKCR\CLSID\{733E9132-53CA-4C97-9AC9-145C4502FA20}
[09/13/2007, 22:47:19] -   Adding Kill Bit for ActiveX for GUID: {733E9132-53CA-4C97-9AC9-145C4502FA20}
[09/13/2007, 22:47:19] -   Deleting ATLEvents/MSEvents Registry entries
[09/13/2007, 22:47:20] -   Removing HKLM\...\Winlogon\Notify\ssqrpnk
[09/13/2007, 22:47:20] - Searching for Browser Helper Objects:
[09/13/2007, 22:47:20] -  BHO 1: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[09/13/2007, 22:47:20] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/13/2007, 22:47:20] -  BHO 3: {8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497} ()
[09/13/2007, 22:47:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/13/2007, 22:47:20] -  Checking for HKLM\...\Winlogon\Notify\vtstq
[09/13/2007, 22:47:20] -  Key not found: HKLM\...\Winlogon\Notify\vtstq, continuing.
[09/13/2007, 22:47:20] -  BHO 4: {93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A} ()
[09/13/2007, 22:47:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/13/2007, 22:47:20] -  No filename found. Continuing.
[09/13/2007, 22:47:20] - Finished Searching Browser Helper Objects
[09/13/2007, 22:47:20] - Finishing up...
[09/13/2007, 22:47:20] - A restart is needed.
[09/13/2007, 22:47:28] - Attempting to Restart via STOP error (Blue Screen!)

[09/13/2007, 22:49:31] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\c\Bureau\VirtumundoBeGone.exe" )
[09/13/2007, 22:49:42] - Detected System Information:
[09/13/2007, 22:49:42] -  Windows Version: 5.1.2600, Service Pack 2
[09/13/2007, 22:49:42] -  Current Username: c (Admin)
[09/13/2007, 22:49:42] -  Windows is in NORMAL mode.
[09/13/2007, 22:49:42] - Searching for Browser Helper Objects:
[09/13/2007, 22:49:42] -  BHO 1: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[09/13/2007, 22:49:42] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/13/2007, 22:49:42] -  BHO 3: {878EE070-350F-491F-A66C-7BC692E34749} ()
[09/13/2007, 22:49:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/13/2007, 22:49:42] -  Checking for HKLM\...\Winlogon\Notify\vtstq
[09/13/2007, 22:49:42] -  Key not found: HKLM\...\Winlogon\Notify\vtstq, continuing.
[09/13/2007, 22:49:42] -  BHO 4: {8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497} ()
[09/13/2007, 22:49:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/13/2007, 22:49:42] -  No filename found. Continuing.
[09/13/2007, 22:49:42] -  BHO 5: {93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A} ()
[09/13/2007, 22:49:42] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/13/2007, 22:49:42] -  No filename found. Continuing.
[09/13/2007, 22:49:42] - Finished Searching Browser Helper Objects
[09/13/2007, 22:49:42] - Finishing up...
[09/13/2007, 22:49:42] - Nothing found! Exiting...

Chalderick · Answer

desirez vous voi un nouveau rapport de Hijackthis ?

papyber · Answer

oui tu remets un rapport hijack this

chalderick · Answer

voila le noyveau rapport :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:46:38, on 14/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CounterPath\X-Lite\x-lite.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\c\Bureau\HiJackThis_v2.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6BACDAB7-212A-43C2-935C-5764C1112A41} - C:\WINDOWS\system32\vtstq.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497} - (no file)
O2 - BHO: (no name) - {93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eyeBeam SIP Client] "C:\Program Files\CounterPath\X-Lite\x-lite.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

papyber · Answer

vundo est souvent récalcitrant
il en reste donc tu fais ceci en suivant bien les consignes
 Relance Vundofix

http://www.atribune.org/ccount/click.php?id=4

 * Ne clique pas sur "Scan for a vundo"
 * Clique droit au milieu de la fenêtre
 * Clique sur Add more files ?
 * Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\vtstq.dll 

 * Clique sur Add files
 * Ensuite clique sur Close Windows
 * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
 * Si l'outils demande un redémarrage, accepte
·	Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis

chalderick · Answer

Voici le rapport de Vundofix


VundoFix V6.5.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 22:19:41 13/09/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.5.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 22:21:57 13/09/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 00:32:52 14/09/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.5.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 01:39:33 14/09/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\vtstq.dll 
C:\WINDOWS\system32\vtstq.dll  Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\vtstq.dll 
C:\WINDOWS\system32\vtstq.dll  Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.8

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Scan started at 16:10:35 14/09/2007

Listing files found while scanning....

No infected files were found.

-------------------------------------------------------------------------------Et Voici le new rapport de hijackthis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:15:55, on 14/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CounterPath\X-Lite\x-lite.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\c\Bureau\HiJackThis_v2.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497} - (no file)
O2 - BHO: (no name) - {90F876A2-07AD-40FA-9D12-AA947BC0FC92} - C:\WINDOWS\system32\vtstq.dll
O2 - BHO: (no name) - {93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eyeBeam SIP Client] "C:\Program Files\CounterPath\X-Lite\x-lite.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

chalderick · Answer

en relisant ce que je vuen de vous mettre j'ai limpression que c'est pas le rapport du dernier scan de vundofix ??! mais si c'est le cas je ne sais pas ou trouver le nouveau

papyber · Answer

supprime vundofix
supprime C:\vundo si encore présent et tous les rapports que tu possèdes...

télécharge le à nouveau et recommence la manip telle qu'indiquée
vundo est souvent récalcitrant
il en reste donc tu fais ceci en suivant bien les consignes
Relance Vundofix

http://www.atribune.org/ccount/click.php?id=4

* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\vtstq.dll

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
· Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis

chalderick · Answer

j'ai pas l'impression que sa ai marché ...j'ai un message qui me dit could not deleted et il me demande de reboot en clicant sur ok c que je fait ùas pas plus apres ... pourtant j'ai fait comme indiqué ...
Beginning removal...

 Attempting to delete C:\WINDOWS\system32\vtstq.dll 
C:\WINDOWS\system32\vtstq.dll  Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\vtstq.dll 
C:\WINDOWS\system32\vtstq.dll  Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

papyber · Answer

on va l'avoir autrement
Télécharge combofix.exe (par sUBs) sur ton Bureau
  http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

chalederik · Answer

Voici le rapport !

ComboFix 07-09-14.2 - "c" 2007-09-14 18:21:24.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.569 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awtrpnk.dll
C:\WINDOWS\system32\qomlmnk.dll
C:\WINDOWS\system32\qtstv.bak1
C:\WINDOWS\system32\qtstv.bak2
C:\WINDOWS\system32\qtstv.ini
C:\WINDOWS\system32\vtstq.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_NWSAPAGENT
-------\NwSapAgent

((((((((((((((((((((((((( Files Created from 2007-08-14 to 2007-09-14 )))))))))))))))))))))))))))))))
.

2007-09-14 18:20 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-14 16:49 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-09-14 05:46 <REP> d-------- C:\Program Files\Eidos Interactive
2007-09-13 22:19 <REP> d-------- C:\VundoFix Backups
2007-09-13 15:54 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-09-12 22:06 <REP> d-------- C:\kav
2007-09-12 21:43 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-09-11 17:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-11 03:11 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2007-09-11 03:11 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2007-09-11 03:11 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2007-09-10 21:13 44,054 --a------ C:\WINDOWS\system32\ssqrpnk.dll.vir
2007-09-04 04:48 225,280 --a------ C:\WINDOWS\system32\rewire.dll
2007-09-03 22:43 57,344 --a------ C:\WINDOWS\system32\GkSui16.EXE
2007-09-03 22:33 <REP> d-------- C:\DOCUME~1\c\Shared
2007-09-03 22:32 <REP> d-------- C:\Program Files\LimeWire
2007-09-03 22:32 <REP> d-------- C:\DOCUME~1\c\Incomplete
2007-09-03 22:32 <REP> d-------- C:\DOCUME~1\c\APPLIC~1\LimeWire
2007-09-03 04:42 73,216 --a------ C:\WINDOWS\ST5UNST.EXE
2007-09-02 21:29 <REP> d-------- C:\Program Files\MappingOut
2007-08-30 14:39 796,672 --a------ C:\WINDOWS\GPInstall.exe
2007-08-24 02:54 <REP> d-------- C:\DOCUME~1\c\APPLIC~1\uk.co.planetside
2007-08-23 22:00 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Autodesk
2007-08-23 21:52 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-08-18 10:53 304,128 --a------ C:\WINDOWS\unin040c.exe
2007-08-15 19:37 <REP> d-------- C:\Program Files\MSXML 6.0
2007-08-15 19:35 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-13 16:48 --------- d-------- C:\DOCUME~1\c\APPLIC~1\Skype
2007-09-11 16:51 --------- d-------- C:\Program Files\FTP Commander
2007-09-11 03:10 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-30 14:42 --------- d-------- C:\Program Files\Game_Maker6
2007-07-31 20:44 --------- d-------- C:\Program Files\Fichiers communs\Intel
2007-07-31 20:44 --------- d-------- C:\Program Files\CounterPath
2007-07-28 18:45 --------- d-------- C:\Program Files\MSN Messenger
2007-07-21 08:56 --------- d-------- C:\DOCUME~1\c\APPLIC~1\Media Player Classic
2007-07-21 08:53 --------- d-------- C:\Program Files\K-Lite Codec Pack
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA24449E-B899-4263-A9C7-BB5FD948BC8F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-30 21:05]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 00:34 C:\WINDOWS\SOUNDMAN.EXE]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00]
"eyeBeam SIP Client"="C:\Program Files\CounterPath\X-Lite\x-lite.exe" [2007-06-05 08:52]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
AutoStart IR.lnk - C:\Program Files\WinTV\Ir.exe [2007-03-28 20:16:49]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\\WINDOWS\\system32\\vtstq

R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys
R3 HCW88VID;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-14 18:26:20
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-14 18:27:26 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-14 18:27
.
--- E O F ---

papyber · Answer

je regarde ce rapport et je reviens pour la suite

chalederik · Answer

ok je doit partir mangé je revien vers 20h30 --- 21h00 donc prend ton temps pour la lecture ;)
Merci pour tout le temps que tu passe avec moi !

papyber · Answer

as tu encore des alertes?
remet un rapport hijack this

chalderick · Answer

voila le raport de hijack this  , non pour le moment ça va , sa donne plus l'air de saffolé , mais je vais attendre de faire  un redemarrage machine pour m'en assuré .

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:29:29, on 14/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CounterPath\X-Lite\x-lite.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\c\Bureau\HiJackThis_v2.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497} - (no file)
O2 - BHO: (no name) - {93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eyeBeam SIP Client] "C:\Program Files\CounterPath\X-Lite\x-lite.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

chalderick · Answer

alors il en dit koi ?

papyber · Answer

c'est plutôt pas mal!
lance hijack this pour un scan et coche les lignes suiavntes
O2 - BHO: (no name) - {8A2BF3B0-9F39-4E38-9A8E-59DD4C20B497} - (no file)
O2 - BHO: (no name) - {93FAE5F8-8C35-4203-B6C0-75A2B56C0A6A} - (no file
ferme toutes ttes fenêtres et clique sur fixer l'objet

faire un scan antivirus en ligne avec internet explorer et accepter l'activex 
poster le rapport ici ensuite
https://www.bitdefender.fr/ 

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur I agree 
La fenêtre change encore, clique sur Click here to scan 
Les signatures se chargent, etc. 

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

chalderick · Answer

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Fri, Sep 14, 2007 - 23:09:36
 
 
  
  
 
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 01:01:27
 
Fichiers
 151536
 
Directoires
 4644
 
Secteurs de boot
 2
 
Archives
 742
 
Paquets programmes
 4541
 
  
  
 
Résultats
 
Virus identifiés
 2
 
Fichiers infectés
 23
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 23
 
  
  
 
Info sur les moteurs
 
Définition virus
 804013
 
Version des moteurs
 AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 7
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\qoobox\Quarantine\C\WINDOWS\system32\awtrpnk.dll.vir
 Infecté par: Trojan.Vundo.DNC
 
C:\qoobox\Quarantine\C\WINDOWS\system32\awtrpnk.dll.vir
 Supprimé
 
C:\qoobox\Quarantine\C\WINDOWS\system32\qomlmnk.dll.vir
 Infecté par: Trojan.Vundo.DNC
 
C:\qoobox\Quarantine\C\WINDOWS\system32\qomlmnk.dll.vir
 Supprimé
 
C:\qoobox\Quarantine\catchme2007-09-14_182614.23.zip=>vtstq.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\qoobox\Quarantine\catchme2007-09-14_182614.23.zip=>vtstq.dll
 Echec de la désinfection
 
C:\qoobox\Quarantine\catchme2007-09-14_182614.23.zip=>vtstq.dll
 Supprimé
 
C:\qoobox\Quarantine\catchme2007-09-14_182614.23.zip
 Mis à jour
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP163\A0021851.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP163\A0021851.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021879.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021879.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021880.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021880.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021880.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021881.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021881.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021881.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021883.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021883.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021885.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021885.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021885.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021886.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021886.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021893.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021893.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021894.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021894.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021894.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021895.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021895.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021895.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021896.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021896.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021897.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021897.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021898.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021898.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021898.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021899.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021899.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021899.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021900.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP164\A0021900.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP166\A0022032.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP166\A0022032.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP166\A0022033.dll
 Infecté par: Trojan.Vundo.DNC
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP166\A0022033.dll
 Supprimé
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP166\A0022044.dll
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP166\A0022044.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{2C81AFAA-02B5-4411-9872-DD834592C06B}\RP166\A0022044.dll
 Supprimé
 
C:\VundoFix Backups\vtstq.dll .bad
 Infecté par: DeepScan:Generic.Virtumonde.1.9391300D
 
C:\VundoFix Backups\vtstq.dll .bad
 Echec de la désinfection
 
C:\VundoFix Backups\vtstq.dll .bad
 Supprimé
 
C:\WINDOWS\system32\ssqrpnk.dll.vir
 Infecté par: Trojan.Vundo.DNC
 
C:\WINDOWS\system32\ssqrpnk.dll.vir
 Supprimé

chalderick · Answer

je t'est envoyer  le rapport de bitdeffender

papyber · Answer

c'est tout bon
supprime c;\qoobox
c;\Vundofix

tous les outls utilisés sont à supprimer
si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation : 
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse. 
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions " 
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

https://forum.pcastuces.com/default.asp

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration


la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
 
 
et bon surf

chalderick · Answer

sincèrelent merci ! pour le temps passer a m'aider et m'expliquer les bonnes marches a suivre pour viré tout ça !
merci pour tout ces bon conseils et pour la patiente qu'il t'aura fallu pour lire et repondre a tout mes nombreux message 
je ne sais pas si tu eprouve du bonheur en aidant les gent dans la détresse mais sache que pour ma part tu m'aura apporté un enorme soulagement et beaucoupde joie en me sortant de ce cercle virale chaotique ...Mdr 
bref ! je te suis trés reconnaissant !
a toi :
 Papyber
ainsi qu'a ton message 
Numa

papyber · Answer

je suis très heureux quand un topic se termine bien et que tout va bien pour le demandeur, cela suffit à ma "récompense"

bon surf en sécurité!

SVP ! Virus qui ralantisse ma machine

27 réponses

Votre réponse

Discussions similaires

Newsletters