infection trojan vundo et conhook Résolu

Question

Bonjour, 

voila je me suis fait infecté par deux trojans  vundo et R/Dldr.Conhook.gen

pour le deuxième il n'apparait plus sur antivir mais bon...

je vous donne ceci pour m'aider

je veux bien en plus les explications des manips car faut pas non plus que je reste dans le flou...
Merci


ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:04, on 09/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
D:\programme\PDSched.exe
D:\PROGRA~2\UNIVER~1\PDFDriver.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32undll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\fire fox\firefox.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\System32\jkkliii.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - C:\WINDOWS\System32\geeba.dll (file missing)
O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - C:\WINDOWS\System32\awtsr.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\ojtdlroa.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: awtsr - C:\WINDOWS\System32\awtsr.dll (file missing)
O20 - Winlogon Notify: geeba - C:\WINDOWS\System32\geeba.dll (file missing)
O20 - Winlogon Notify: instcat - instcat.dll (file missing)
O20 - Winlogon Notify: jkkliii - C:\WINDOWS\SYSTEM32\jkkliii.dll
O20 - Winlogon Notify: pmnopqr - pmnopqr.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll (file missing)
O20 - Winlogon Notify: ssqolji - ssqolji.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bswpfeea.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS	ermsrv.exe (file missing)
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

!^^![ME] · Answer

re 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

g!rly · Answer

salut a toi calcio,

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\SYSTEM32\jkkliii.dll

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix

et un nouveau hijack this 

@+

calcio · Answer

Merci 



resultat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:36:33, on 09/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
D:\programme\PDSched.exe
C:\WINDOWS\System32\wuauclt.exe
D:\PROGRA~2\UNIVER~1\PDFDriver.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\fire fox\firefox.exe
C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\jkkliii.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - C:\WINDOWS\System32\geeba.dll (file missing)
O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - C:\WINDOWS\System32\awtsr.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: awtsr - C:\WINDOWS\System32\awtsr.dll (file missing)
O20 - Winlogon Notify: geeba - C:\WINDOWS\System32\geeba.dll (file missing)
O20 - Winlogon Notify: instcat - instcat.dll (file missing)
O20 - Winlogon Notify: jkkliii - C:\WINDOWS\SYSTEM32\jkkliii.dll
O20 - Winlogon Notify: pmnopqr - pmnopqr.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32pcc.dll (file missing)
O20 - Winlogon Notify: ssqolji - ssqolji.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bswpfeea.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS	ermsrv.exe (file missing)
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

calcio · Answer

désolé il y avait aucun rapport de vundo fix a moins qu'il soit enregistrer automatiquement?

calcio · Answer

ok

j'ai fait cette manip

Il suffira de relancer hjackThis, choisir do a scan only, puis de cocher les cases devant ces lignes , et de cliquer en bas sur fix checked  pour les supprimer.

lancer antivir et de nouveau vundo mais bon dans le rapport la ligne


O20 - Winlogon Notify: jkkliii - C:\WINDOWS\SYSTEM32\jkkliii.dll  

n'avait pas de (file missing) 

est ce que j'ai bon pour l'instant?

calcio · Answer

bon comme je suis curieux et impatient lol

j'ai fait cette manip

télécharger VirtumundoBegone sur le bureau:


Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu). Comme précédemment, refaire un rapport hijackhthis, et fixer les lignes correspondante comme indiquer plus haut.

j'ai refait un rapport apres avoir coché les lignes (file missing)

et plus rien 
est ce sur la bonne voie?

g!rly · Answer

ok

peux tu remettre un hijack this stp

calcio · Answer

ok antivir la encore detecté lol

manque encore la troisème manip on dirait 


en plus je me suis chopé worm/nulprot A6 c'est la fete en ce moment

bref voivi hijack 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22:25, on 09/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
D:\programme\PDSched.exe
D:\PROGRA~2\UNIVER~1\PDFDriver.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\fire fox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - (no file)
O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bswpfeea.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS	ermsrv.exe (file missing)
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

g!rly · Answer

bon apparament j´ai loupé un episode; tu as fixé quoi au juste avec hijack this? car si tu fix une ligne ca ne veux pas dire que le fichier sera supprimé! tu voie...

dis moi dans ton prochain message car c´est important.

fais ceci pour continuer :

* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe     

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 


NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

calcio · Answer

j'ai fait l'étape deux


2ème méthode : VirtumundoBegone

Télécharger VirtumundoBegone sur le bureau:


Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu). Comme précédemment, refaire un rapport hijackhthis, et fixer les lignes correspondante comme indiquer plus haut.


sinon je relance le pc

ett je lance hijack

g!rly · Answer

oui je veux bien mais...

tu as le rapport de virtualmundobegone?

post le avant de faire combofix stp

calcio · Answer

voila 

pour vbg


[10/09/2007, 20:02:34] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\loulou\Bureau\VirtumundoBeGone.exe" )
[10/09/2007, 20:02:39] - Detected System Information:
[10/09/2007, 20:02:39] -  Windows Version: 5.1.2600, 
[10/09/2007, 20:02:39] -  Current Username: loulou (Admin)
[10/09/2007, 20:02:39] -  Windows is in NORMAL mode.
[10/09/2007, 20:02:39] - Searching for Browser Helper Objects:
[10/09/2007, 20:02:39] -  BHO 1: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} ()
[10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:39] -  Checking for HKLM\...\Winlogon\Notify\jkkliii
[10/09/2007, 20:02:39] -  Found: HKLM\...\Winlogon\Notify\jkkliii - This is probably Virtumundo.
[10/09/2007, 20:02:39] -  Assigning {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} MSEvents Object
[10/09/2007, 20:02:39] - BHO list has been changed! Starting over...
[10/09/2007, 20:02:39] -  BHO 1: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} (MSEvents Object)
[10/09/2007, 20:02:39] - ALERT: Found MSEvents Object!
[10/09/2007, 20:02:39] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/09/2007, 20:02:39] -  BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:39] -  No filename found. Continuing.
[10/09/2007, 20:02:39] -  BHO 4: {A1A8AD82-99F2-4550-AED5-42CF71FB62C5} ()
[10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:39] -  Checking for HKLM\...\Winlogon\Notify\ddcya
[10/09/2007, 20:02:39] -  Found: HKLM\...\Winlogon\Notify\ddcya - This is probably Virtumundo.
[10/09/2007, 20:02:39] -  Assigning {A1A8AD82-99F2-4550-AED5-42CF71FB62C5} MSEvents Object
[10/09/2007, 20:02:39] - BHO list has been changed! Starting over...
[10/09/2007, 20:02:39] -  BHO 1: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} (MSEvents Object)
[10/09/2007, 20:02:39] - ALERT: Found MSEvents Object!
[10/09/2007, 20:02:39] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/09/2007, 20:02:39] -  BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:39] -  No filename found. Continuing.
[10/09/2007, 20:02:39] -  BHO 4: {A1A8AD82-99F2-4550-AED5-42CF71FB62C5} (MSEvents Object)
[10/09/2007, 20:02:39] - ALERT: Found MSEvents Object!
[10/09/2007, 20:02:39] -  BHO 5: {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} ()
[10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:39] -  No filename found. Continuing.
[10/09/2007, 20:02:39] -  BHO 6: {F680CEFD-0849-48F6-9164-B50FF340574E} ()
[10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:39] -  No filename found. Continuing.
[10/09/2007, 20:02:39] - Finished Searching Browser Helper Objects
[10/09/2007, 20:02:39] - *** Detected MSEvents Object
[10/09/2007, 20:02:39] - Trying to remove MSEvents Object...
[10/09/2007, 20:02:40] -    Terminating Process: IEXPLORE.EXE
[10/09/2007, 20:02:41] -    Terminating Process: RUNDLL32.EXE
[10/09/2007, 20:02:43] -    Disabling Automatic Shell Restart
[10/09/2007, 20:02:43] -    Terminating Process: EXPLORER.EXE
[10/09/2007, 20:02:44] -    Suspending the NT Session Manager System Service
[10/09/2007, 20:02:44] -    Terminating Windows NT Logon/Logoff Manager
[10/09/2007, 20:02:45] -    Re-enabling Automatic Shell Restart
[10/09/2007, 20:02:45] -   File to disable: C:\WINDOWS\system32\jkkliii.dll
[10/09/2007, 20:02:45] -  Renaming C:\WINDOWS\system32\jkkliii.dll -> C:\WINDOWS\system32\jkkliii.dll.vir
[10/09/2007, 20:02:46] - ! File rename was unsucessful.
[10/09/2007, 20:02:46] -  Attempting to Deny Access to C:\WINDOWS\system32\jkkliii.dll
[10/09/2007, 20:02:49] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[10/09/2007, 20:02:49] -  ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

[10/09/2007, 20:02:49] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[10/09/2007, 20:02:49] -   Removing HKLM\...\Browser Helper Objects\{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[10/09/2007, 20:02:49] -   Removing HKCR\CLSID\{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[10/09/2007, 20:02:51] -   Adding Kill Bit for ActiveX for GUID: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
[10/09/2007, 20:02:51] -   Deleting ATLEvents/MSEvents Registry entries
[10/09/2007, 20:02:51] -   Removing HKLM\...\Winlogon\Notify\jkkliii
[10/09/2007, 20:02:52] - Searching for Browser Helper Objects:
[10/09/2007, 20:02:52] -  BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/09/2007, 20:02:52] -  BHO 2: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[10/09/2007, 20:02:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:52] -  No filename found. Continuing.
[10/09/2007, 20:02:52] -  BHO 3: {A1A8AD82-99F2-4550-AED5-42CF71FB62C5} (MSEvents Object)
[10/09/2007, 20:02:52] - ALERT: Found MSEvents Object!
[10/09/2007, 20:02:52] -  BHO 4: {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} ()
[10/09/2007, 20:02:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:52] -  No filename found. Continuing.
[10/09/2007, 20:02:52] -  BHO 5: {F680CEFD-0849-48F6-9164-B50FF340574E} ()
[10/09/2007, 20:02:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:52] -  No filename found. Continuing.
[10/09/2007, 20:02:52] - Finished Searching Browser Helper Objects
[10/09/2007, 20:02:52] - *** Detected MSEvents Object
[10/09/2007, 20:02:52] - Trying to remove MSEvents Object...
[10/09/2007, 20:02:53] -    Terminating Process: IEXPLORE.EXE
[10/09/2007, 20:02:53] -    Terminating Process: RUNDLL32.EXE
[10/09/2007, 20:02:53] -    Disabling Automatic Shell Restart
[10/09/2007, 20:02:53] -    Terminating Process: EXPLORER.EXE
[10/09/2007, 20:02:53] -    Suspending the NT Session Manager System Service
[10/09/2007, 20:02:53] -    Terminating Windows NT Logon/Logoff Manager
[10/09/2007, 20:02:53] -    Re-enabling Automatic Shell Restart
[10/09/2007, 20:02:53] -   File to disable: C:\WINDOWS\System32\ddcya.dll
[10/09/2007, 20:02:53] -  Renaming C:\WINDOWS\System32\ddcya.dll -> C:\WINDOWS\System32\ddcya.dll.vir
[10/09/2007, 20:02:53] - ! File rename was unsucessful.
[10/09/2007, 20:02:53] -  Attempting to Deny Access to C:\WINDOWS\System32\ddcya.dll
[10/09/2007, 20:02:53] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[10/09/2007, 20:02:53] -  ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

[10/09/2007, 20:02:53] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[10/09/2007, 20:02:53] -   Removing HKLM\...\Browser Helper Objects\{A1A8AD82-99F2-4550-AED5-42CF71FB62C5}
[10/09/2007, 20:02:53] -   Removing HKCR\CLSID\{A1A8AD82-99F2-4550-AED5-42CF71FB62C5}
[10/09/2007, 20:02:53] -   Adding Kill Bit for ActiveX for GUID: {A1A8AD82-99F2-4550-AED5-42CF71FB62C5}
[10/09/2007, 20:02:53] -   Deleting ATLEvents/MSEvents Registry entries
[10/09/2007, 20:02:53] -   Removing HKLM\...\Winlogon\Notify\ddcya
[10/09/2007, 20:02:53] - Searching for Browser Helper Objects:
[10/09/2007, 20:02:53] -  BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/09/2007, 20:02:53] -  BHO 2: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[10/09/2007, 20:02:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:53] -  No filename found. Continuing.
[10/09/2007, 20:02:53] -  BHO 3: {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} ()
[10/09/2007, 20:02:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:53] -  No filename found. Continuing.
[10/09/2007, 20:02:53] -  BHO 4: {F680CEFD-0849-48F6-9164-B50FF340574E} ()
[10/09/2007, 20:02:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/09/2007, 20:02:53] -  No filename found. Continuing.
[10/09/2007, 20:02:53] - Finished Searching Browser Helper Objects
[10/09/2007, 20:02:53] - Finishing up...
[10/09/2007, 20:02:53] - A restart is needed.
[10/09/2007, 20:04:24] - Attempting to Restart via STOP error (Blue Screen!)

calcio · Answer

et HijackThis 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:27:51, on 09/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
D:\programme\PDSched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - (no file)
O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bswpfeea.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS	ermsrv.exe (file missing)
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

g!rly · Answer

ok

bon virtualmundobegone dit :

*** IMPORTANT: The file is disabled and will need to be deleted by the user. 

pour ces deux la :

C:\WINDOWS\system32\jkkliii.dll
C:\WINDOWS\System32\ddcya.dll

alors on va essayer avec ceci :

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

C:\WINDOWS\system32\jkkliii.dll
C:\WINDOWS\System32\ddcya.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

ps : as tu supprimé cette ligne tout a l´heure?

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\ojtdlroa.dll",sitypnow

post le rapport de otmove it stp

@+

calcio · Answer

ok il me dit no found pour les deux et qu'il ne peut pas créer de dossier dans C:\_OTMoveIt\MovedFiles du 10092007 22 49 33 seondes

calcio · Answer

et j'ai pas supprimé ça

O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\ojtdlroa.dll",sitypnow

g!rly · Answer

bon,

fais combofix pour continuer :

* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.


NOTE : Le rapport se trouve également ici : C:\Combofix.tx

calcio · Answer

voili voila

Merci

ComboFix 07-10-10.1 - loulou 2007-10-09 23:01:19.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.50 [GMT 2:00]
Running from: C:\Documents and Settings\loulou\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\asc3550p
-------\DomainService

((((((((((((((((((((((((((((( Fichiers créés 2007-09-10 to 2007-10-10 ))))))))))))))))))))))))))))))))))))
.

2007-10-09 23:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-09 19:38 357,659 ---hs---- C:\WINDOWS\system32\aycdd.bak1
2007-10-09 19:37 263,220 --ahs---- C:\WINDOWS\system32\ddcya.dll.vir
2007-10-09 19:27 <REP> d-------- C:\VundoFix Backups
2007-10-09 19:22 <REP> d-------- C:\Program Files\CCleaner
2007-10-08 00:35 <REP> d-------- C:\Program Files\Avira
2007-10-08 00:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-10-07 16:37 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-10-07 16:37 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-10-07 16:37 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-10-07 16:37 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-10-07 16:37 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-10-07 16:37 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-10-07 16:29 310,272 --a------ C:\WINDOWS\system32\winhttp.dll
2007-10-07 15:22 <REP> d-------- C:\WINDOWS\nview
2007-10-07 15:22 98,304 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-10-07 15:21 185,624 --a------ C:\WINDOWS\system32\iuengine.dll
2007-10-07 15:21 185,624 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
2007-10-07 14:30 <REP> d-------- C:\Documents and Settings\loulou\Incomplete
2007-10-07 14:29 <REP> d-------- C:\Documents and Settings\loulou\Application Data\LimeWire
2007-10-07 14:26 <REP> d-------- C:\Program Files\LimeWire
2007-10-06 21:13 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
2007-10-06 21:07 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
2007-10-06 21:06 <REP> d-------- C:\Program Files\Realtek AC97
2007-10-06 07:49 <REP> d-------- C:\Program Files\Program Files
2007-10-04 00:30 <REP> d-------- C:\Program Files\Sunbelt Software
2007-10-03 23:07 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-03 19:41 <REP> d-------- C:\Documents and Settings\loulou\Application Data\vlc
2007-10-03 19:20 <REP> d-------- C:\Program Files\VideoLAN
2007-10-03 19:14 <REP> d-------- C:\Documents and Settings\loulou\Contacts
2007-10-03 19:10 <REP> d-------- C:\Program Files\MSN Messenger
2007-10-02 21:20 <REP> d-------- C:\Program Files\fire fox
2007-10-02 21:07 <REP> d-------- C:\Documents and Settings\loulou\Application Data\Logitech
2007-10-02 21:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\LogiShrd
2007-10-02 21:07 52,608 --a------ C:\WINDOWS\system32\drivers\i8042prt.sys
2007-10-02 21:07 24,064 --a------ C:\WINDOWS\system32\drivers\kbdclass.sys
2007-10-02 21:06 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-02 21:06 79,376 --a------ C:\WINDOWS\system32\drivers\LMouKE.Sys
2007-10-02 21:06 63,248 --a------ C:\WINDOWS\system32\drivers\L8042mou.Sys
2007-10-02 21:06 56,080 --a------ C:\WINDOWS\KHALMNPR.Exe
2007-10-02 21:06 20,496 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.sys
2007-10-02 21:05 <REP> d-------- C:\WINDOWS\LastGood
2007-10-02 21:05 <REP> d-------- C:\Program Files\Logitech
2007-10-02 21:05 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2007-10-02 21:05 <REP> d-------- C:\Documents and Settings\loulou\Application Data\InstallShield
2007-10-02 21:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2007-10-02 21:05 163,840 --a------ C:\WINDOWS\system32\kemutb.dll
2007-10-02 21:05 135,168 --a------ C:\WINDOWS\system32\KemUtil.dll
2007-10-02 21:05 110,592 --a------ C:\WINDOWS\system32\KemWnd.dll
2007-10-02 21:05 69,632 --a------ C:\WINDOWS\system32\KemXML.dll
2007-10-02 20:46 20,747 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-10-02 20:45 <REP> d-------- C:\WINDOWS\LastGood.Tmp
2007-10-02 20:45 <REP> d-------- C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor
2007-10-02 20:45 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2007-10-02 20:45 356,096 --a------ C:\WINDOWS\system32\rt61.sys
2007-10-02 20:45 356,096 --a------ C:\WINDOWS\system32\drivers\rt61.sys
2007-10-02 20:45 243,328 --a------ C:\WINDOWS\system32\rt2500.sys
2007-10-02 20:45 94,208 --a------ C:\WINDOWS\system32\GTW32N50.dll
2007-10-02 20:45 17,992 --a------ C:\WINDOWS\system32\drivers\bcm42rly.sys
2007-10-02 20:45 17,992 --a------ C:\WINDOWS\system32\bcm42rly.sys
2007-10-02 20:45 17,992 --a------ C:\WINDOWS\bcm42rly.sys
2007-10-02 20:45 15,872 --a------ C:\WINDOWS\system32\GTNDIS5.sys
2007-10-02 20:24 <REP> d-------- C:\Program Files\AVPersonal
2007-10-02 20:14 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-10-02 20:14 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-06 19:05 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-10-06 05:49 0 ----a-w C:\tool31.exe
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F680CEFD-0849-48F6-9164-B50FF340574E}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"Universal PDF Driver"="D:\PROGRA~2\UNIVER~1\PDFDriver.exe" []
"BDSwitchAgent"="C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe" []
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 C:\WINDOWS\KHALMNPR.Exe]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16]
"nwiz"="nwiz.exe" [2003-10-06 15:16 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2007-03-04 22:29]
"WINSOS VERIFY"="C:\Program Files\WINSOS\WINSOS.exe" []
"ccleaner"="C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" [2006-12-15 14:13]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R0 Defrag32b;Defrag32Boot;C:\WINDOWS\System32\drivers\Defrag32b.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R2 Defrag32;Defrag32;C:\WINDOWS\System32\drivers\Defrag32.sys
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys

*Newly Created Service* - ALG
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-10 23:04:36
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-10 23:07:25 - machine was rebooted
.
--- E O F ---

g!rly · Answer

ok

avec ot move it supprime ceci :

C:\WINDOWS\system32\ddcya.dll.vir
C:\WINDOWS\system32\jkkliii.dll.vir
C:\WINDOWS\system32\aycdd.bak1
C:\VundoFix Backups

puis rends toi sur ce site :

https://www.virustotal.com/gui/

et fais analyser ceci :

C:	ool31.exe

et post le rapport ici 

peux etre devra tu rendre les fichiers cachés visibles

tu peux le faire comme ceci :

¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer !

calcio · Answer

pourot move it  voila le rapport 
fallait supprimer ou cé ok?


C:\WINDOWS\system32\ddcya.dll.vir moved successfully.
File/Folder C:\WINDOWS\system32\jkkliii.dll.vir not found.
C:\WINDOWS\system32\aycdd.bak1 moved successfully.
C:\VundoFix Backups moved successfully.
 
Created on 10/10/2007 23:27:54


je faits le reste merci

calcio · Answer

pour l'autre manip 

il m'affiche ça sur le site
0 bytes size received / Se ha recibido un archivo vacio

calcio · Answer

en gros elle est vide LOL

g!rly · Answer

bon pas grave.

maintenant il faudrait faire un scan en ligne, je sais c´est long mais...

https://www.bitdefender.com/toolbox/

Clique sur "I agree" et suis la manip.

ps : le scan est a faire avec internet explorer

post le rapport une fois terminé.

vu que le scan est long, je te dis a demain...

bonne nuit

calcio · Answer

ok merci.....
a demain

calcio · Answer

voila terminer


quel malin ce vundo


file:///C:/Documents%20and%20Settings/loulou/Bureau/bit%20defender.html

calcio · Answer

itDefender Online Scanner
	

 
	

 

Scan report generated at: Thu, Oct 11, 2007 - 00:11:24

 
	

 
	

 

Scan path: A:\;C:\;D:\;E:\;F:\;G:\;
	

 
	

 

 
	

 
	

 

Statistics

Time
	

00:16:03

Files
	

96246

Folders
	

1599

Boot Sectors
	

4

Archives
	

971

Packed Files
	

6989
	

 
	

 

Results

Identified Viruses
	

1

Infected Files
	

2

Suspect Files
	

0

Warnings
	

0

Disinfected
	

0

Deleted Files
	

2
	

 
	

 

Engines Info

Virus Definitions
	

825949

Engine build
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
	

14

Archive plugins
	

38

Unpack plugins
	

7

E-mail plugins
	

6

System plugins
	

1
	

 
	

 

Scan Settings

First Action
	

Disinfect

Second Action
	

Delete

Heuristics
	

Yes

Enable Warnings
	

Yes

Scanned Extensions
	

*;

Exclude Extensions
	

 

Scan Emails
	

Yes

Scan Archives
	

Yes

Scan Packed
	

Yes

Scan Files
	

Yes

Scan Boot
	

Yes
	

 
	

 
 

Scanned File
	

 Status

C:\System Volume Information\_restore{6C880F66-FF6B-480F-9E5C-1596305F5214}\RP30\A0016481.dll
	

Infected with: Trojan.Vundo.DLY

C:\System Volume Information\_restore{6C880F66-FF6B-480F-9E5C-1596305F5214}\RP30\A0016481.dll
	

Disinfection failed

C:\System Volume Information\_restore{6C880F66-FF6B-480F-9E5C-1596305F5214}\RP30\A0016481.dll
	

Deleted

C:\_OTMoveIt\MovedFiles\WINDOWS\system32\ddcya.dll.vir
	

Infected with: Trojan.Vundo.DLY

C:\_OTMoveIt\MovedFiles\WINDOWS\system32\ddcya.dll.vir
	

Disinfection failed

C:\_OTMoveIt\MovedFiles\WINDOWS\system32\ddcya.dll.vir
	

Deleted

g!rly · Answer

salut calcio,

ce n´est que la restauration system qui est touché par vundo

Désactive ta restauration système et reactive la :

Clic droit sur poste de travail puis,
propriété, tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
puis, tu redemarre le pc et fais l´inverse c´est a dire >
tu reactive la restauration en decochant la case
désactiver la restauration systeme et applique.

puis post un nouveau hijack this stp

@+

calcio · Answer

ok je ferais cette manip je reviendrai cers 19h 

Par contre comment on peut apprendre à traduire les post hijack ?

Par ce que comme dit plus haut c'est sympa d'aider mais j'aime bien comprendre aussi...LOL


Et sinon avant j'avais BIT DEFENDER en version légal puis apres deux ans cela s'est arrêté sans vraiment me prevenir donc j'ai eu le droit à une invasion de virus qui d'ailleurs m'a valu le formatage de mon pc...

Bref serais ce judicieux de me réabonner à celui ci ou alors de garder AVG et ANTIVIR?
Et sinon KAPERSKI on m'en dit pas mal de bien...

Et ma dernière question devrais je combiné AVG + ANTIVIR + autre PAREFEU ( sachant que je suis en free HD en MODE WIFI)

Merci pour toutes les manips et esperons que cela soit la dernière...LOL

g!rly · Answer

re,

post le rapport hijack this; je repondrais a tes requetes a la fin de la desinfection, si tu le veux bien ;-)

@ toute a l´heure.

calcio · Answer

VOILI

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:54, on 11/10/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
D:\programme\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - (no file)
O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS	ermsrv.exe (file missing)
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

g!rly · Answer

ca a l´air d´aller mieux non?

avec hijack this coche et fix ceci :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - (no file)
O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - (no file)

hijack this va te demander de fermer tes applications et navigateur pour fixer alors fais le.

tu as encore des alertes d´antivir?

@+

calcio · Answer

juste un warning et maintenant c'est bon

merci

j'ai du réinstaller mon WIFI par contre me bloquais tout explorer

pas pigé pourquoi

g!rly · Answer

ok

pour ta connection wifi c´est peut etre du au passage de combofix, je m´excuse j´aurais du te prevenir...

passe ccleaner pour corriger les erreures et vider tes fichiers temporaires:

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

tutoriel :

https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

et 

* télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html

* tu l'installes

* lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
si tu n'arrives pas à le mettre à jour prends ici les màj

http://downloads.ewido.net/avgas-signatures-full-current.exe

Sur la page "analyse":

•- tu choisis d'abord l'onglet "paramètres".
- sous « Comment réagir » clic sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer » 

Copie Et colle le rapport ici 

Ps : une fois le scan terminé tu supprime bien tout ce qu´il a trouvé.

@+

calcio · Answer

lol
merci mais je les ai déja tous ceux la...LOL

g!rly · Answer

bonsoir calcio,

celui la aussi :

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

tu as fais un scan avec avg?

comment va ta connection wifi?

calcio · Answer

re en effet ma connection wifi plante souvent


Je m'explique au démarrage apres le lancement de window set l'ouverture de ma cession le pc fait un ecran noir puis revien au bureau et la une fosi sur deux il bloque

tout s'ouvre AVG, ANTIVIR... sauf qu'apres l'onglet wifi n'apparait plsu et la impossible d'eteindre le pc...
Obliger de l'eteindre de "force" le redemarrer et la 95% du temsp tout se lance correctement


désoél pour le retard en déplacement

g!rly · Answer

bonsoir,

oui ca fesait longtemps

passe ceci :

https://www.softpedia.com/get/Tweak/Network-Tweak/WinSockFix.shtml

sauvegarde ton registre avant de le passer :

https://www.zebulon.fr/astuces/securite-systeme/sauvegarde-de-la-base-de-registre.html

dis moi si ca va mieux apres...

calcio · Answer

ok c'est fait
ça c'est relancé impec


apres je referai demain une petit verif et je te redirai ça
merci beaucoup



bonne soirée
censé

lol

g!rly · Answer

ok
a demain alors.
bonne soirée...

g!rly · Answer

--
mouvement de non entraide a suivre très prochainement...

Infection trojan vundo et conhook

40 réponses

Votre réponse

Discussions similaires

Newsletters