Infection trojan vundo et conhook

Résolu
calcio -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,

voila je me suis fait infecté par deux trojans vundo et R/Dldr.Conhook.gen

pour le deuxième il n'apparait plus sur antivir mais bon...

je vous donne ceci pour m'aider

je veux bien en plus les explications des manips car faut pas non plus que je reste dans le flou...
Merci

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:04, on 09/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
D:\programme\PDSched.exe
D:\PROGRA~2\UNIVER~1\PDFDriver.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\fire fox\firefox.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\System32\jkkliii.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - C:\WINDOWS\System32\geeba.dll (file missing)
O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - C:\WINDOWS\System32\awtsr.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\ojtdlroa.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: awtsr - C:\WINDOWS\System32\awtsr.dll (file missing)
O20 - Winlogon Notify: geeba - C:\WINDOWS\System32\geeba.dll (file missing)
O20 - Winlogon Notify: instcat - instcat.dll (file missing)
O20 - Winlogon Notify: jkkliii - C:\WINDOWS\SYSTEM32\jkkliii.dll
O20 - Winlogon Notify: pmnopqr - pmnopqr.dll (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O20 - Winlogon Notify: ssqolji - ssqolji.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bswpfeea.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS\termsrv.exe (file missing)
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 6366 bytes
Configuration: Windows XP PRO 2
Firefox 2.0.0.7
ANTIVIR PERSO
AVG

40 réponses

  • 1
  • 2
Résumé de la discussion

Deux trojans, Vundo et R/Dldr.Conhook.gen, ont été détectés sur une machine Windows XP et ont déclenché une demande d’explications détaillées sur les manipulations à effectuer.
Plusieurs propositions préconisent des suppressions ciblées de fichiers malveillants, notamment des DLL suspects comme dd cya.dll.vir et jkkliii.dll.vir, suivies d’un passage par VirusTotal et d’un affichement des fichiers cachés pour vérification.
Les résultats des journaux HijackThis évoquent de nombreuses entrées suspectes, notamment des BHO et des éléments de démarrage système, des composants Winlogon Notify et des services indésirables, illustrant l’ampleur potentielle de l’infection.
D’autres éléments indiquent des étapes complémentaires telles que l’analyse des exécutables suspects et la vérification des paramètres réseau, sans trancher sur l’issue ni sur les corrections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. !^^![ME] Messages postés 4767 Statut Contributeur 395
     
    re

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4

    Double-clique VundoFix.exe afin de le lancer.
    Coche Run VundoFix as a task.
    Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau.
    Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
    0
  2. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut a toi calcio,

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4

    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\WINDOWS\SYSTEM32\jkkliii.dll

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    * Poste le rapport Vundofix

    et un nouveau hijack this

    @+
    0
  3. calcio
     
    Merci

    resultat

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:36:33, on 09/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
    C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
    D:\programme\PDSched.exe
    C:\WINDOWS\System32\wuauclt.exe
    D:\PROGRA~2\UNIVER~1\PDFDriver.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
    C:\Program Files\fire fox\firefox.exe
    C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\WINDOWS\system32\jkkliii.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - C:\WINDOWS\System32\geeba.dll (file missing)
    O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - C:\WINDOWS\System32\awtsr.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
    O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O20 - Winlogon Notify: awtsr - C:\WINDOWS\System32\awtsr.dll (file missing)
    O20 - Winlogon Notify: geeba - C:\WINDOWS\System32\geeba.dll (file missing)
    O20 - Winlogon Notify: instcat - instcat.dll (file missing)
    O20 - Winlogon Notify: jkkliii - C:\WINDOWS\SYSTEM32\jkkliii.dll
    O20 - Winlogon Notify: pmnopqr - pmnopqr.dll (file missing)
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
    O20 - Winlogon Notify: ssqolji - ssqolji.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bswpfeea.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
    O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
    O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS\termsrv.exe (file missing)
    O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
    0
  4. calcio
     
    désolé il y avait aucun rapport de vundo fix a moins qu'il soit enregistrer automatiquement?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. calcio
     
    ok

    j'ai fait cette manip

    Il suffira de relancer hjackThis, choisir do a scan only, puis de cocher les cases devant ces lignes , et de cliquer en bas sur fix checked pour les supprimer.

    lancer antivir et de nouveau vundo mais bon dans le rapport la ligne

    O20 - Winlogon Notify: jkkliii - C:\WINDOWS\SYSTEM32\jkkliii.dll

    n'avait pas de (file missing)

    est ce que j'ai bon pour l'instant?
    0
  7. calcio
     
    bon comme je suis curieux et impatient lol

    j'ai fait cette manip

    télécharger VirtumundoBegone sur le bureau:

    Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
    Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
    (Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu). Comme précédemment, refaire un rapport hijackhthis, et fixer les lignes correspondante comme indiquer plus haut.

    j'ai refait un rapport apres avoir coché les lignes (file missing)

    et plus rien
    est ce sur la bonne voie?
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    peux tu remettre un hijack this stp
    0
  9. calcio
     
    ok antivir la encore detecté lol

    manque encore la troisème manip on dirait

    en plus je me suis chopé worm/nulprot A6 c'est la fete en ce moment

    bref voivi hijack

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:22:25, on 09/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
    C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
    D:\programme\PDSched.exe
    D:\PROGRA~2\UNIVER~1\PDFDriver.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
    C:\Program Files\CCleaner\CCleaner.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
    C:\Program Files\fire fox\firefox.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
    C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - (no file)
    O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
    O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bswpfeea.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
    O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
    O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS\termsrv.exe (file missing)
    O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
    0
  10. g!rly Messages postés 18462 Statut Contributeur 407
     
    bon apparament j´ai loupé un episode; tu as fixé quoi au juste avec hijack this? car si tu fix une ligne ca ne veux pas dire que le fichier sera supprimé! tu voie...

    dis moi dans ton prochain message car c´est important.

    fais ceci pour continuer :

    * Télécharge combofix.exe (par sUBs) sur ton Bureau.

    http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

    * Double clique combofix.exe.
    * Tape sur la touche 1 (Yes) pour démarrer le scan.
    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    @+
    0
  11. calcio
     
    j'ai fait l'étape deux

    2ème méthode : VirtumundoBegone

    Télécharger VirtumundoBegone sur le bureau:

    Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
    Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
    (Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu). Comme précédemment, refaire un rapport hijackhthis, et fixer les lignes correspondante comme indiquer plus haut.

    sinon je relance le pc

    ett je lance hijack
    0
  12. g!rly Messages postés 18462 Statut Contributeur 407
     
    oui je veux bien mais...

    tu as le rapport de virtualmundobegone?

    post le avant de faire combofix stp
    0
  13. calcio
     
    voila

    pour vbg

    [10/09/2007, 20:02:34] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\loulou\Bureau\VirtumundoBeGone.exe" )
    [10/09/2007, 20:02:39] - Detected System Information:
    [10/09/2007, 20:02:39] - Windows Version: 5.1.2600,
    [10/09/2007, 20:02:39] - Current Username: loulou (Admin)
    [10/09/2007, 20:02:39] - Windows is in NORMAL mode.
    [10/09/2007, 20:02:39] - Searching for Browser Helper Objects:
    [10/09/2007, 20:02:39] - BHO 1: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} ()
    [10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:39] - Checking for HKLM\...\Winlogon\Notify\jkkliii
    [10/09/2007, 20:02:39] - Found: HKLM\...\Winlogon\Notify\jkkliii - This is probably Virtumundo.
    [10/09/2007, 20:02:39] - Assigning {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} MSEvents Object
    [10/09/2007, 20:02:39] - BHO list has been changed! Starting over...
    [10/09/2007, 20:02:39] - BHO 1: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} (MSEvents Object)
    [10/09/2007, 20:02:39] - ALERT: Found MSEvents Object!
    [10/09/2007, 20:02:39] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [10/09/2007, 20:02:39] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:39] - No filename found. Continuing.
    [10/09/2007, 20:02:39] - BHO 4: {A1A8AD82-99F2-4550-AED5-42CF71FB62C5} ()
    [10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:39] - Checking for HKLM\...\Winlogon\Notify\ddcya
    [10/09/2007, 20:02:39] - Found: HKLM\...\Winlogon\Notify\ddcya - This is probably Virtumundo.
    [10/09/2007, 20:02:39] - Assigning {A1A8AD82-99F2-4550-AED5-42CF71FB62C5} MSEvents Object
    [10/09/2007, 20:02:39] - BHO list has been changed! Starting over...
    [10/09/2007, 20:02:39] - BHO 1: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} (MSEvents Object)
    [10/09/2007, 20:02:39] - ALERT: Found MSEvents Object!
    [10/09/2007, 20:02:39] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [10/09/2007, 20:02:39] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:39] - No filename found. Continuing.
    [10/09/2007, 20:02:39] - BHO 4: {A1A8AD82-99F2-4550-AED5-42CF71FB62C5} (MSEvents Object)
    [10/09/2007, 20:02:39] - ALERT: Found MSEvents Object!
    [10/09/2007, 20:02:39] - BHO 5: {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} ()
    [10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:39] - No filename found. Continuing.
    [10/09/2007, 20:02:39] - BHO 6: {F680CEFD-0849-48F6-9164-B50FF340574E} ()
    [10/09/2007, 20:02:39] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:39] - No filename found. Continuing.
    [10/09/2007, 20:02:39] - Finished Searching Browser Helper Objects
    [10/09/2007, 20:02:39] - *** Detected MSEvents Object
    [10/09/2007, 20:02:39] - Trying to remove MSEvents Object...
    [10/09/2007, 20:02:40] - Terminating Process: IEXPLORE.EXE
    [10/09/2007, 20:02:41] - Terminating Process: RUNDLL32.EXE
    [10/09/2007, 20:02:43] - Disabling Automatic Shell Restart
    [10/09/2007, 20:02:43] - Terminating Process: EXPLORER.EXE
    [10/09/2007, 20:02:44] - Suspending the NT Session Manager System Service
    [10/09/2007, 20:02:44] - Terminating Windows NT Logon/Logoff Manager
    [10/09/2007, 20:02:45] - Re-enabling Automatic Shell Restart
    [10/09/2007, 20:02:45] - File to disable: C:\WINDOWS\system32\jkkliii.dll
    [10/09/2007, 20:02:45] - Renaming C:\WINDOWS\system32\jkkliii.dll -> C:\WINDOWS\system32\jkkliii.dll.vir
    [10/09/2007, 20:02:46] - ! File rename was unsucessful.
    [10/09/2007, 20:02:46] - Attempting to Deny Access to C:\WINDOWS\system32\jkkliii.dll
    [10/09/2007, 20:02:49] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
    [10/09/2007, 20:02:49] - ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

    [10/09/2007, 20:02:49] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
    [10/09/2007, 20:02:49] - Removing HKLM\...\Browser Helper Objects\{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
    [10/09/2007, 20:02:49] - Removing HKCR\CLSID\{3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
    [10/09/2007, 20:02:51] - Adding Kill Bit for ActiveX for GUID: {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607}
    [10/09/2007, 20:02:51] - Deleting ATLEvents/MSEvents Registry entries
    [10/09/2007, 20:02:51] - Removing HKLM\...\Winlogon\Notify\jkkliii
    [10/09/2007, 20:02:52] - Searching for Browser Helper Objects:
    [10/09/2007, 20:02:52] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [10/09/2007, 20:02:52] - BHO 2: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [10/09/2007, 20:02:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:52] - No filename found. Continuing.
    [10/09/2007, 20:02:52] - BHO 3: {A1A8AD82-99F2-4550-AED5-42CF71FB62C5} (MSEvents Object)
    [10/09/2007, 20:02:52] - ALERT: Found MSEvents Object!
    [10/09/2007, 20:02:52] - BHO 4: {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} ()
    [10/09/2007, 20:02:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:52] - No filename found. Continuing.
    [10/09/2007, 20:02:52] - BHO 5: {F680CEFD-0849-48F6-9164-B50FF340574E} ()
    [10/09/2007, 20:02:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:52] - No filename found. Continuing.
    [10/09/2007, 20:02:52] - Finished Searching Browser Helper Objects
    [10/09/2007, 20:02:52] - *** Detected MSEvents Object
    [10/09/2007, 20:02:52] - Trying to remove MSEvents Object...
    [10/09/2007, 20:02:53] - Terminating Process: IEXPLORE.EXE
    [10/09/2007, 20:02:53] - Terminating Process: RUNDLL32.EXE
    [10/09/2007, 20:02:53] - Disabling Automatic Shell Restart
    [10/09/2007, 20:02:53] - Terminating Process: EXPLORER.EXE
    [10/09/2007, 20:02:53] - Suspending the NT Session Manager System Service
    [10/09/2007, 20:02:53] - Terminating Windows NT Logon/Logoff Manager
    [10/09/2007, 20:02:53] - Re-enabling Automatic Shell Restart
    [10/09/2007, 20:02:53] - File to disable: C:\WINDOWS\System32\ddcya.dll
    [10/09/2007, 20:02:53] - Renaming C:\WINDOWS\System32\ddcya.dll -> C:\WINDOWS\System32\ddcya.dll.vir
    [10/09/2007, 20:02:53] - ! File rename was unsucessful.
    [10/09/2007, 20:02:53] - Attempting to Deny Access to C:\WINDOWS\System32\ddcya.dll
    [10/09/2007, 20:02:53] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
    [10/09/2007, 20:02:53] - ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

    [10/09/2007, 20:02:53] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
    [10/09/2007, 20:02:53] - Removing HKLM\...\Browser Helper Objects\{A1A8AD82-99F2-4550-AED5-42CF71FB62C5}
    [10/09/2007, 20:02:53] - Removing HKCR\CLSID\{A1A8AD82-99F2-4550-AED5-42CF71FB62C5}
    [10/09/2007, 20:02:53] - Adding Kill Bit for ActiveX for GUID: {A1A8AD82-99F2-4550-AED5-42CF71FB62C5}
    [10/09/2007, 20:02:53] - Deleting ATLEvents/MSEvents Registry entries
    [10/09/2007, 20:02:53] - Removing HKLM\...\Winlogon\Notify\ddcya
    [10/09/2007, 20:02:53] - Searching for Browser Helper Objects:
    [10/09/2007, 20:02:53] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [10/09/2007, 20:02:53] - BHO 2: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [10/09/2007, 20:02:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:53] - No filename found. Continuing.
    [10/09/2007, 20:02:53] - BHO 3: {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} ()
    [10/09/2007, 20:02:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:53] - No filename found. Continuing.
    [10/09/2007, 20:02:53] - BHO 4: {F680CEFD-0849-48F6-9164-B50FF340574E} ()
    [10/09/2007, 20:02:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/09/2007, 20:02:53] - No filename found. Continuing.
    [10/09/2007, 20:02:53] - Finished Searching Browser Helper Objects
    [10/09/2007, 20:02:53] - Finishing up...
    [10/09/2007, 20:02:53] - A restart is needed.
    [10/09/2007, 20:04:24] - Attempting to Restart via STOP error (Blue Screen!)
    0
  14. calcio
     
    et HijackThis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:27:51, on 09/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
    C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
    D:\programme\PDSched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\loulou\Bureau\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.icrfast.com/index.php?mid=128526490&sid=12116&c=FR&fw=y
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA} - (no file)
    O2 - BHO: (no name) - {F680CEFD-0849-48F6-9164-B50FF340574E} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Universal PDF Driver] "D:\PROGRA~2\UNIVER~1\PDFDriver.exe"
    O4 - HKLM\..\Run: [BDSwitchAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" /AUTO
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\bswpfeea.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PDEngine - Raxco Software, Inc. - D:\programme\PDEngine.exe
    O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\programme\PDSched.exe
    O23 - Service: Terminal Server-Services - Unknown owner - C:\WINDOWS\termsrv.exe (file missing)
    O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    bon virtualmundobegone dit :

    *** IMPORTANT: The file is disabled and will need to be deleted by the user.

    pour ces deux la :

    C:\WINDOWS\system32\jkkliii.dll
    C:\WINDOWS\System32\ddcya.dll

    alors on va essayer avec ceci :

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\WINDOWS\system32\jkkliii.dll
    C:\WINDOWS\System32\ddcya.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

    ps : as tu supprimé cette ligne tout a l´heure?

    O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\ojtdlroa.dll",sitypnow

    post le rapport de otmove it stp

    @+
    0
  16. calcio
     
    ok il me dit no found pour les deux et qu'il ne peut pas créer de dossier dans C:\_OTMoveIt\MovedFiles du 10092007 22 49 33 seondes
    0
  17. calcio
     
    et j'ai pas supprimé ça

    O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\System32\ojtdlroa.dll",sitypnow
    0
  18. g!rly Messages postés 18462 Statut Contributeur 407
     
    bon,

    fais combofix pour continuer :

    * Télécharge combofix.exe (par sUBs) sur ton Bureau.

    http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

    * Double clique combofix.exe.
    * Tape sur la touche 1 (Yes) pour démarrer le scan.
    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.tx
    0
  19. calcio
     
    voili voila

    Merci

    ComboFix 07-10-10.1 - loulou 2007-10-09 23:01:19.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.50 [GMT 2:00]
    Running from: C:\Documents and Settings\loulou\Bureau\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\cookies.ini
    C:\WINDOWS\system32\.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_DOMAINSERVICE
    -------\asc3550p
    -------\DomainService

    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-10 to 2007-10-10 ))))))))))))))))))))))))))))))))))))
    .

    2007-10-09 23:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-10-09 19:38 357,659 ---hs---- C:\WINDOWS\system32\aycdd.bak1
    2007-10-09 19:37 263,220 --ahs---- C:\WINDOWS\system32\ddcya.dll.vir
    2007-10-09 19:27 <REP> d-------- C:\VundoFix Backups
    2007-10-09 19:22 <REP> d-------- C:\Program Files\CCleaner
    2007-10-08 00:35 <REP> d-------- C:\Program Files\Avira
    2007-10-08 00:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-10-07 16:37 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-10-07 16:37 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-10-07 16:37 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-10-07 16:37 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
    2007-10-07 16:37 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
    2007-10-07 16:37 33,624 --a------ C:\WINDOWS\system32\wups.dll
    2007-10-07 16:29 310,272 --a------ C:\WINDOWS\system32\winhttp.dll
    2007-10-07 15:22 <REP> d-------- C:\WINDOWS\nview
    2007-10-07 15:22 98,304 --a------ C:\WINDOWS\system32\nvudisp.exe
    2007-10-07 15:21 185,624 --a------ C:\WINDOWS\system32\iuengine.dll
    2007-10-07 15:21 185,624 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
    2007-10-07 14:30 <REP> d-------- C:\Documents and Settings\loulou\Incomplete
    2007-10-07 14:29 <REP> d-------- C:\Documents and Settings\loulou\Application Data\LimeWire
    2007-10-07 14:26 <REP> d-------- C:\Program Files\LimeWire
    2007-10-06 21:13 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE
    2007-10-06 21:07 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe
    2007-10-06 21:06 <REP> d-------- C:\Program Files\Realtek AC97
    2007-10-06 07:49 <REP> d-------- C:\Program Files\Program Files
    2007-10-04 00:30 <REP> d-------- C:\Program Files\Sunbelt Software
    2007-10-03 23:07 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-10-03 19:41 <REP> d-------- C:\Documents and Settings\loulou\Application Data\vlc
    2007-10-03 19:20 <REP> d-------- C:\Program Files\VideoLAN
    2007-10-03 19:14 <REP> d-------- C:\Documents and Settings\loulou\Contacts
    2007-10-03 19:10 <REP> d-------- C:\Program Files\MSN Messenger
    2007-10-02 21:20 <REP> d-------- C:\Program Files\fire fox
    2007-10-02 21:07 <REP> d-------- C:\Documents and Settings\loulou\Application Data\Logitech
    2007-10-02 21:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\LogiShrd
    2007-10-02 21:07 52,608 --a------ C:\WINDOWS\system32\drivers\i8042prt.sys
    2007-10-02 21:07 24,064 --a------ C:\WINDOWS\system32\drivers\kbdclass.sys
    2007-10-02 21:06 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2007-10-02 21:06 79,376 --a------ C:\WINDOWS\system32\drivers\LMouKE.Sys
    2007-10-02 21:06 63,248 --a------ C:\WINDOWS\system32\drivers\L8042mou.Sys
    2007-10-02 21:06 56,080 --a------ C:\WINDOWS\KHALMNPR.Exe
    2007-10-02 21:06 20,496 --a------ C:\WINDOWS\system32\drivers\L8042Kbd.sys
    2007-10-02 21:05 <REP> d-------- C:\WINDOWS\LastGood
    2007-10-02 21:05 <REP> d-------- C:\Program Files\Logitech
    2007-10-02 21:05 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
    2007-10-02 21:05 <REP> d-------- C:\Documents and Settings\loulou\Application Data\InstallShield
    2007-10-02 21:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
    2007-10-02 21:05 163,840 --a------ C:\WINDOWS\system32\kemutb.dll
    2007-10-02 21:05 135,168 --a------ C:\WINDOWS\system32\KemUtil.dll
    2007-10-02 21:05 110,592 --a------ C:\WINDOWS\system32\KemWnd.dll
    2007-10-02 21:05 69,632 --a------ C:\WINDOWS\system32\KemXML.dll
    2007-10-02 20:46 20,747 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
    2007-10-02 20:45 <REP> d-------- C:\WINDOWS\LastGood.Tmp
    2007-10-02 20:45 <REP> d-------- C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor
    2007-10-02 20:45 <REP> d--h----- C:\Program Files\InstallShield Installation Information
    2007-10-02 20:45 356,096 --a------ C:\WINDOWS\system32\rt61.sys
    2007-10-02 20:45 356,096 --a------ C:\WINDOWS\system32\drivers\rt61.sys
    2007-10-02 20:45 243,328 --a------ C:\WINDOWS\system32\rt2500.sys
    2007-10-02 20:45 94,208 --a------ C:\WINDOWS\system32\GTW32N50.dll
    2007-10-02 20:45 17,992 --a------ C:\WINDOWS\system32\drivers\bcm42rly.sys
    2007-10-02 20:45 17,992 --a------ C:\WINDOWS\system32\bcm42rly.sys
    2007-10-02 20:45 17,992 --a------ C:\WINDOWS\bcm42rly.sys
    2007-10-02 20:45 15,872 --a------ C:\WINDOWS\system32\GTNDIS5.sys
    2007-10-02 20:24 <REP> d-------- C:\Program Files\AVPersonal
    2007-10-02 20:14 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
    2007-10-02 20:14 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-06 19:05 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-10-06 05:49 0 ----a-w C:\tool31.exe
    2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
    2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
    2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
    2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D62FF8AA-98F3-4DE9-B96E-5EBD95BFC5DA}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F680CEFD-0849-48F6-9164-B50FF340574E}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "Universal PDF Driver"="D:\PROGRA~2\UNIVER~1\PDFDriver.exe" []
    "BDSwitchAgent"="C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe" []
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 C:\WINDOWS\KHALMNPR.Exe]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
    "SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 C:\WINDOWS\soundman.exe]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16]
    "nwiz"="nwiz.exe" [2003-10-06 15:16 C:\WINDOWS\system32\nwiz.exe]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2007-03-04 22:29]
    "WINSOS VERIFY"="C:\Program Files\WINSOS\WINSOS.exe" []
    "ccleaner"="C:\Documents and Settings\loulou\Bureau\CCleaner\ccleaner.exe" [2006-12-15 14:13]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableRegistryTools"=0 (0x0)

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
    R0 Defrag32b;Defrag32Boot;C:\WINDOWS\System32\drivers\Defrag32b.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    R2 Defrag32;Defrag32;C:\WINDOWS\System32\drivers\Defrag32.sys
    S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\System32\DRIVERS\camdrv21.sys

    *Newly Created Service* - ALG
    .
    **************************************************************************

    catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-10-10 23:04:36
    Windows 5.1.2600 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-10-10 23:07:25 - machine was rebooted
    .
    --- E O F ---
    0
  20. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    avec ot move it supprime ceci :

    C:\WINDOWS\system32\ddcya.dll.vir
    C:\WINDOWS\system32\jkkliii.dll.vir
    C:\WINDOWS\system32\aycdd.bak1
    C:\VundoFix Backups

    puis rends toi sur ce site :

    https://www.virustotal.com/gui/

    et fais analyser ceci :

    C:\tool31.exe

    et post le rapport ici

    peux etre devra tu rendre les fichiers cachés visibles

    tu peux le faire comme ceci :

    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    0
  21. calcio
     
    pourot move it voila le rapport
    fallait supprimer ou cé ok?

    C:\WINDOWS\system32\ddcya.dll.vir moved successfully.
    File/Folder C:\WINDOWS\system32\jkkliii.dll.vir not found.
    C:\WINDOWS\system32\aycdd.bak1 moved successfully.
    C:\VundoFix Backups moved successfully.

    Created on 10/10/2007 23:27:54

    je faits le reste merci
    0
  • 1
  • 2