Sujet Précédent Sujet Suivant

Conhook-AW

Fermé
papasiam - 13 oct. 2007 à 10:40
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 22 oct. 2007 à 22:50
Bonjour, salut
j'ai un souci mon PC est infecté par des viruss genre conhook-aw win32 ou encore agent LBX et autre virus
malgré la réinstallation de windows et le formage du disque système les virus sont toujours présent que faire?
si le PC est hors connexion rien ne se produit mais dès que je suis online avast pète un plomb.
aidez moi s'ilvous plait
A voir également:
  • Conhook-AW
  • Aw cleaner - Télécharger - Antivirus & Antimalwares

43 réponses

Réponse 1 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
13 oct. 2007 à 10:43
bonjour,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm
0
Réponse 2 / 43
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
13 oct. 2007 à 10:45
Bonjour

A tout hasard, as-tu songé ou pensé à changer d'anti-virus ?
Remplacer Avast par Antivir ??

ANTIVIR
https://www.avira.com/
Tuto
http://speedweb1.free.fr/frames2.php?page=tuto5

télécharger la version gratuite de Avast
Vous pouvez télécharger Avast sur le site suivant
https://www.avast.com/free-antivirus-download
Tuto ->
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/questions-avast-sujet_176199_1.htm

Ensuite, la formatage ne supprime pas les merdouilles.

par la même occase
Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.


Et

F - Hijackthis - Outil de diagnostic et réparation
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Bon courage

A+




0
Réponse 3 / 43
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
13 oct. 2007 à 10:46
juste un petit coucou g!rly;

tu t'attaque encore a vundo


beau boulot
bonne continuation
0
Réponse 4 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
13 oct. 2007 à 10:50
on va essayer;-)
salut jlpjlp, bonne journée a toi > qu´elle soit colorée a souhait ;-)
je salut aussi marie qui s´attaque a la bete...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 43
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
13 oct. 2007 à 10:53
Salut vous deux
Je me rends surtout compte qu'Avast a du plus en plus de failles, on dirait ??? Non ??
0
Réponse 6 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
13 oct. 2007 à 11:11
bonjour marie,
oui c´est vrai; tu fais bien de conseiller antivir, il est beaucoup plus performant; mais les utilisateurs sont souvent retissant a desinstaller leur chere antivirus avast pour le troquer contre antivir>desolant...
je te laisse continuer, ou? comment on fait?
en meme temps je vais bientot m´absenté pour la journée, alors si tu es la continue?
0
Réponse 7 / 43
papasiam
13 oct. 2007 à 16:08
Bonjour,
tou d'abord merci pour votre rapidité et votre disponibilité voici les rapports demandés
hijackthis

rapport



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:47, on 13/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\spooIsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\WINDOWS\System32\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system\NOTEPAD.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\services.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\bfgfuxg.exe
C:\WINDOWS\System32\Gothic.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\rundll32.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1482476501-152049171-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: c:\windows\system32\vturpmn.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe
0
Réponse 8 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
13 oct. 2007 à 16:12
papasiam,
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
je me répète mais...
0
Réponse 9 / 43
papasiam
13 oct. 2007 à 18:24
Bonjour,
je suis pas chez moi mais merci g!rly pour tes conseils j' essaierais tout ca demain apres le boulot merci encore
0
Réponse 10 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
13 oct. 2007 à 18:25
de rien, bonne soirée ;-)
0
Réponse 11 / 43
papasiam
14 oct. 2007 à 19:34
Bonjour,
voici le rapport SDFix





SDFix: Version 1.109

Run by Zit”uN on 14/10/2007 at 19:26

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\ZITUN~1\Bureau\sss\SDFix

Safe Mode:
Checking Services:

Name:
Microsoft Agent

ImagePath:
"C:\WINDOWS\System32\dllcache\frehost.exe"

Microsoft Agent - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File
Resetting AppInit_DLLs value


Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\AWTQNNK.DLL - Deleted
C:\WINDOWS\SYSTEM32\AWVTQRR.DLL - Deleted
C:\WINDOWS\SYSTEM32\DDABBAY.DLL - Deleted
C:\WINDOWS\SYSTEM32\JKHFGFE.DLL - Deleted
C:\WINDOWS\SYSTEM32\MLJJGGD.DLL - Deleted
C:\WINDOWS\SYSTEM32\PMNLJKK.DLL - Deleted
C:\WINDOWS\SYSTEM32\VTSQPMN.DLL - Deleted
C:\WINDOWS\SYSTEM32\VTURPMN.DLL - Deleted
C:\WINDOWS\SYSTEM32\DWXWXT.EXE - Deleted
C:\WINDOWS\SYSTEM32\MJLDSTIF.EXE - Deleted
C:\WINDOWS\SYSTEM32\MOFVX.EXE - Deleted
C:\WINDOWS\SYSTEM32\QQJPTKZT.EXE - Deleted
C:\WINDOWS\SYSTEM32\WGESKMFA.EXE - Deleted
C:\WINDOWS\myphotos.zip - Deleted
C:\WINDOWS\services.exe - Deleted
C:\WINDOWS\system\NOTEPAD.exe - Deleted
C:\WINDOWS\system32\explorer.exe - Deleted
C:\WINDOWS\system32\Isass.exe - Deleted
C:\WINDOWS\system32\o - Deleted
C:\WINDOWS\system32\spooIsv.exe - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\ZITUN~1\Bureau\sss\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sat 13 Oct 2007 34,816 A..H. --- "C:\WINDOWS\system32\bfgfuxg.exe"
Sun 14 Oct 2007 490 ..SH. --- "C:\WINDOWS\system32\iymtmrdm.dllbox"
Sat 13 Oct 2007 36,560 A..H. --- "C:\WINDOWS\system32\lrzwr.exe"
Sat 13 Oct 2007 6,465 ..SH. --- "C:\WINDOWS\system32\svvwa.bak1"
Sun 14 Oct 2007 306,151 ..SH. --- "C:\WINDOWS\system32\svvwa.bak2"
Sat 13 Oct 2007 54,450 A..H. --- "C:\WINDOWS\system32\wfcjy.exe"
Sat 13 Oct 2007 32,256 A..H. --- "C:\WINDOWS\system32\yfoy.exe"
Sat 13 Oct 2007 148,480 ..SHR --- "C:\WINDOWS\system32\dllcache\frehost.exe"

Finished!


jai fait cela en etant hors connexion
cela dit une fois remis online mon pc recoit de nouvelles attaques
0
Réponse 12 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
14 oct. 2007 à 20:44
bonsoir papasiam,

ok pour sdfix.

fais ceci maintenant:

* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.


NOTE : Le rapport se trouve également ici : C:\Combofix.txt

et post un nouveau rapport hijack this
0
Réponse 13 / 43
papasiam
14 oct. 2007 à 21:16
Bonjour,



ComboFix 07-10-14.4 - Zit”uN 2007-10-14 21:03:27.1 - NTFSx86
Running from: D:\install\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Hammer.dll
C:\WINDOWS\system32\awvvs.dll
C:\WINDOWS\system32\ojwjqywd.exe
C:\WINDOWS\system32\svvwa.bak1
C:\WINDOWS\system32\svvwa.bak1
C:\WINDOWS\system32\svvwa.bak2
C:\WINDOWS\system32\svvwa.bak2
C:\WINDOWS\system32\svvwa.ini
C:\WINDOWS\system32\svvwa.ini
C:\WINDOWS\system32\vtsqr.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\rdriv


((((((((((((((((((((((((((((( Fichiers créés 2007-09-14 to 2007-10-14 ))))))))))))))))))))))))))))))))))))
.

2007-10-14 21:08 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2007-10-14 21:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-14 19:31 430,592 -r-hs---- C:\WINDOWS\windowsys.com
2007-10-14 19:31 7,168 --a------ C:\WINDOWS\system32\rdriv.sys
2007-10-14 19:26 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-14 05:30 389,184 --a------ C:\WINDOWS\system32\vwjpydfd.exe
2007-10-14 05:30 339,968 --a------ C:\WINDOWS\system32\iymtmrdm.dll
2007-10-13 16:25 <REP> d-------- C:\Program Files\K-Lite Codec Pack
2007-10-13 16:25 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-10-13 16:25 1,415,680 --a------ C:\WINDOWS\system32\WMV9VCM.dll
2007-10-13 16:25 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-10-13 16:25 635,486 --a------ C:\WINDOWS\system32\divx.dll
2007-10-13 16:25 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-10-13 16:25 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-10-13 16:25 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-10-13 16:25 5,120 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-10-13 16:23 <REP> d-------- C:\Program Files\SLD Codec Pack
2007-10-13 16:13 37,504 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
2007-10-13 16:13 37,504 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
2007-10-13 16:06 <REP> d-------- C:\Program Files\Fichiers communs\SpeechEngines
2007-10-13 16:06 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-10-13 16:06 <REP> dr------- C:\Program Files
2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\ModŠles
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\Default User\Menu D‚marrer
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Favoris
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Bureau
2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\All Users\ModŠles
2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\All Users\Menu D‚marrer
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\All Users\Favoris
2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\All Users\Documents
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\All Users\Bureau
2007-10-13 16:00 32,256 --ah----- C:\WINDOWS\system32\yfoy.exe
2007-10-12 16:46 9,600 --a------ C:\WINDOWS\system32\drivers\SiWinAcc.sys
2007-10-12 16:45 89,610 --a------ C:\WINDOWS\system32\drivers\SI3112r.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-14 19:09 786,432 ---ha-w C:\Documents and Settings\ZitöuN\NTUSER.DAT
2007-10-14 17:31 38,912 ----a-w C:\WINDOWS\system32\re1.exe
2007-10-13 14:01 36,560 ---ha-w C:\WINDOWS\system32\lrzwr.exe
2007-10-13 14:00 54,450 ---ha-w C:\WINDOWS\system32\wfcjy.exe
2007-10-13 13:52 34,304 ----a-w C:\WINDOWS\system32\tuvutuv.dll
2007-10-13 13:51 540,672 ----a-w C:\WINDOWS\system32\Gothic.exe
2007-10-13 13:51 34,816 ---ha-w C:\WINDOWS\system32\bfgfuxg.exe
2007-10-13 13:48 38,232 ----a-w C:\WINDOWS\system32\c_1tat.dll
2007-10-13 13:47 34,304 ----a-w C:\WINDOWS\system32\pmnoljj.dll
2007-10-13 13:46 34,304 ----a-w C:\WINDOWS\system32\tuvvsst.dll
2007-10-13 13:43 34,304 ----a-w C:\WINDOWS\system32\gebcyxx.dll
2007-10-13 13:36 --------- d-----w C:\Program Files\QuickTime
2007-10-13 13:36 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-10-13 13:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-10-13 13:35 --------- d-----w C:\Program Files\Alwil Software
2007-10-13 13:34 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-10-13 13:33 --------- d-----w C:\Program Files\Free
2007-10-13 13:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-13 13:30 --------- d-----w C:\Program Files\Silicon Image
2007-10-13 13:23 --------- d-----w C:\Program Files\ATI Technologies
2007-10-13 13:12 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-13 13:11 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-10-13 13:10 --------- d-----w C:\Program Files\Services en ligne
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-10-14 05:30 339968 --a------ C:\WINDOWS\system32\iymtmrdm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}]
2007-10-13 15:43 34304 --a------ C:\WINDOWS\System32\gebcyxx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{df0579c0-5f69-42a7-bde0-49643332a697}]
2007-10-13 15:48 38232 --a------ C:\WINDOWS\system32\c_1tat.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\iymtmrdm.dll [2007-10-14 05:30 339968]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\iymtmrdm.dll [2007-10-14 05:30 339968]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 12:35]
"nForce Tray Options"="sstray.exe" [2003-08-13 06:25 C:\WINDOWS\system32\sstray.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-13 15:36]
"HOT FIX"="Gothic.exe" [2007-10-13 15:51 C:\WINDOWS\system32\Gothic.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]
"HOT FIX"="Gothic.exe" [2007-10-13 15:51 C:\WINDOWS\system32\Gothic.exe]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"HOT FIX"=Gothic.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"HOT FIX"=Gothic.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"HOT FIX"=Gothic.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"HOT FIX"=Gothic.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=
"HOT FIX"=Gothic.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}"= C:\WINDOWS\System32\gebcyxx.dll [2007-10-13 15:43 34304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\c_1tat]
c_1tat.dll 2007-10-13 15:48 38232 C:\WINDOWS\system32\c_1tat.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcyxx]
gebcyxx.dll 2007-10-13 15:43 34304 C:\WINDOWS\system32\gebcyxx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iymtmrdm]
iymtmrdm.dll 2007-10-14 05:30 339968 C:\WINDOWS\system32\iymtmrdm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\vturpmn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\awvvs.dll

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\System32\drivers\si3112r.sys
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\System32\drivers\SiWinAcc.sys
R2 windowsys;system32 master;"C:\WINDOWS\windowsys.com"
R4 hotfix.microsoft.com;HOT FIX;"C:\WINDOWS\System32\Gothic.exe" -netsvcs
S2 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe"
S3 rdriv;rdriv;\??\C:\WINDOWS\system32\rdriv.sys

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-14 21:10:42
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-14 21:11:00 - machine was rebooted
.
--- E O F ---
0
Réponse 14 / 43
papasiam
14 oct. 2007 à 21:16
Bonjour,



ComboFix 07-10-14.4 - Zit”uN 2007-10-14 21:03:27.1 - NTFSx86
Running from: D:\install\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Hammer.dll
C:\WINDOWS\system32\awvvs.dll
C:\WINDOWS\system32\ojwjqywd.exe
C:\WINDOWS\system32\svvwa.bak1
C:\WINDOWS\system32\svvwa.bak1
C:\WINDOWS\system32\svvwa.bak2
C:\WINDOWS\system32\svvwa.bak2
C:\WINDOWS\system32\svvwa.ini
C:\WINDOWS\system32\svvwa.ini
C:\WINDOWS\system32\vtsqr.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\rdriv


((((((((((((((((((((((((((((( Fichiers créés 2007-09-14 to 2007-10-14 ))))))))))))))))))))))))))))))))))))
.

2007-10-14 21:08 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2007-10-14 21:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-14 19:31 430,592 -r-hs---- C:\WINDOWS\windowsys.com
2007-10-14 19:31 7,168 --a------ C:\WINDOWS\system32\rdriv.sys
2007-10-14 19:26 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-14 05:30 389,184 --a------ C:\WINDOWS\system32\vwjpydfd.exe
2007-10-14 05:30 339,968 --a------ C:\WINDOWS\system32\iymtmrdm.dll
2007-10-13 16:25 <REP> d-------- C:\Program Files\K-Lite Codec Pack
2007-10-13 16:25 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-10-13 16:25 1,415,680 --a------ C:\WINDOWS\system32\WMV9VCM.dll
2007-10-13 16:25 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-10-13 16:25 635,486 --a------ C:\WINDOWS\system32\divx.dll
2007-10-13 16:25 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-10-13 16:25 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-10-13 16:25 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-10-13 16:25 5,120 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-10-13 16:23 <REP> d-------- C:\Program Files\SLD Codec Pack
2007-10-13 16:13 37,504 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
2007-10-13 16:13 37,504 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
2007-10-13 16:06 <REP> d-------- C:\Program Files\Fichiers communs\SpeechEngines
2007-10-13 16:06 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-10-13 16:06 <REP> dr------- C:\Program Files
2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\ModŠles
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\Default User\Menu D‚marrer
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Favoris
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Bureau
2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\All Users\ModŠles
2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\All Users\Menu D‚marrer
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\All Users\Favoris
2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\All Users\Documents
2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\All Users\Bureau
2007-10-13 16:00 32,256 --ah----- C:\WINDOWS\system32\yfoy.exe
2007-10-12 16:46 9,600 --a------ C:\WINDOWS\system32\drivers\SiWinAcc.sys
2007-10-12 16:45 89,610 --a------ C:\WINDOWS\system32\drivers\SI3112r.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-14 19:09 786,432 ---ha-w C:\Documents and Settings\ZitöuN\NTUSER.DAT
2007-10-14 17:31 38,912 ----a-w C:\WINDOWS\system32\re1.exe
2007-10-13 14:01 36,560 ---ha-w C:\WINDOWS\system32\lrzwr.exe
2007-10-13 14:00 54,450 ---ha-w C:\WINDOWS\system32\wfcjy.exe
2007-10-13 13:52 34,304 ----a-w C:\WINDOWS\system32\tuvutuv.dll
2007-10-13 13:51 540,672 ----a-w C:\WINDOWS\system32\Gothic.exe
2007-10-13 13:51 34,816 ---ha-w C:\WINDOWS\system32\bfgfuxg.exe
2007-10-13 13:48 38,232 ----a-w C:\WINDOWS\system32\c_1tat.dll
2007-10-13 13:47 34,304 ----a-w C:\WINDOWS\system32\pmnoljj.dll
2007-10-13 13:46 34,304 ----a-w C:\WINDOWS\system32\tuvvsst.dll
2007-10-13 13:43 34,304 ----a-w C:\WINDOWS\system32\gebcyxx.dll
2007-10-13 13:36 --------- d-----w C:\Program Files\QuickTime
2007-10-13 13:36 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-10-13 13:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-10-13 13:35 --------- d-----w C:\Program Files\Alwil Software
2007-10-13 13:34 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-10-13 13:33 --------- d-----w C:\Program Files\Free
2007-10-13 13:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-13 13:30 --------- d-----w C:\Program Files\Silicon Image
2007-10-13 13:23 --------- d-----w C:\Program Files\ATI Technologies
2007-10-13 13:12 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-13 13:11 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-10-13 13:10 --------- d-----w C:\Program Files\Services en ligne
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-10-14 05:30 339968 --a------ C:\WINDOWS\system32\iymtmrdm.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}]
2007-10-13 15:43 34304 --a------ C:\WINDOWS\System32\gebcyxx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{df0579c0-5f69-42a7-bde0-49643332a697}]
2007-10-13 15:48 38232 --a------ C:\WINDOWS\system32\c_1tat.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\iymtmrdm.dll [2007-10-14 05:30 339968]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\iymtmrdm.dll [2007-10-14 05:30 339968]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 12:35]
"nForce Tray Options"="sstray.exe" [2003-08-13 06:25 C:\WINDOWS\system32\sstray.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-13 15:36]
"HOT FIX"="Gothic.exe" [2007-10-13 15:51 C:\WINDOWS\system32\Gothic.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]
"HOT FIX"="Gothic.exe" [2007-10-13 15:51 C:\WINDOWS\system32\Gothic.exe]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"HOT FIX"=Gothic.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
"HOT FIX"=Gothic.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"HOT FIX"=Gothic.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"HOT FIX"=Gothic.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=
"HOT FIX"=Gothic.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}"= C:\WINDOWS\System32\gebcyxx.dll [2007-10-13 15:43 34304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\c_1tat]
c_1tat.dll 2007-10-13 15:48 38232 C:\WINDOWS\system32\c_1tat.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcyxx]
gebcyxx.dll 2007-10-13 15:43 34304 C:\WINDOWS\system32\gebcyxx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iymtmrdm]
iymtmrdm.dll 2007-10-14 05:30 339968 C:\WINDOWS\system32\iymtmrdm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\vturpmn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\awvvs.dll

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\System32\drivers\si3112r.sys
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\System32\drivers\SiWinAcc.sys
R2 windowsys;system32 master;"C:\WINDOWS\windowsys.com"
R4 hotfix.microsoft.com;HOT FIX;"C:\WINDOWS\System32\Gothic.exe" -netsvcs
S2 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe"
S3 rdriv;rdriv;\??\C:\WINDOWS\system32\rdriv.sys

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-14 21:10:42
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-14 21:11:00 - machine was rebooted
.
--- E O F ---
0
Réponse 15 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
14 oct. 2007 à 22:35
re,
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

et repost un log hijackthis ,
0
Réponse 16 / 43
papasiam
15 oct. 2007 à 19:28
Bonjour,
vundo



VundoFix V6.5.10

Checking Java version...

Sun Java not detected
Scan started at 19:07:03 15/10/2007

Listing files found while scanning....

C:\windows\system32\gebcyxx.dll
C:\WINDOWS\system32\iymtmrdm.dll
C:\windows\system32\pmnoljj.dll
C:\windows\system32\tuvutuv.dll
C:\windows\system32\tuvvsst.dll

Beginning removal...

Attempting to delete C:\windows\system32\gebcyxx.dll
C:\windows\system32\gebcyxx.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\iymtmrdm.dll
C:\WINDOWS\system32\iymtmrdm.dll Has been deleted!

Attempting to delete C:\windows\system32\pmnoljj.dll
C:\windows\system32\pmnoljj.dll Has been deleted!

Attempting to delete C:\windows\system32\tuvutuv.dll
C:\windows\system32\tuvutuv.dll Has been deleted!

Attempting to delete C:\windows\system32\tuvvsst.dll
C:\windows\system32\tuvvsst.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\windows\system32\gebcyxx.dll
C:\windows\system32\gebcyxx.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...



hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:54, on 15/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\windowsys.com
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\Gothic.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\msms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
O4 - HKLM\..\Run: [mackfy.exe] C:\WINDOWS\System32\msms.exe
O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunServices: [mackfy.exe] C:\WINDOWS\System32\msms.exe
O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: c:\windows\system32\vturpmn.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)
O23 - Service: system32 master (windowsys) - Unknown owner - C:\WINDOWS\windowsys.com
0
Réponse 17 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
15 oct. 2007 à 22:45
re,

1
instale un par feu :
kerio :
https://kerio.probb.fr/t1-tuto-pour-kerio-4-2

2
Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :
_________________________________________________________________________________
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
__________________________________________________________________________________

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

3
a l´aide de hijack this coche et fix les lignes ci dessous :
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
O4 - HKLM\..\Run: [mackfy.exe] C:\WINDOWS\System32\msms.exe
O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunServices: [mackfy.exe] C:\WINDOWS\System32\msms.exe
O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
O23 - Service: system32 master (windowsys) - Unknown owner - C:\WINDOWS\windowsys.com

comment fixer :
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

4
click sur demarrer sur execute et dans la boite de dialogue tape ceci : services.msc > dans la nouvelle fenetre des services arrete ce service : system32 master (windowsys)

5
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :
C:\WINDOWS\windowsys.com
C:\WINDOWS\System32\Gothic.exe
C:\WINDOWS\System32\msms.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

dans ta prochaine réponse post le rapport de ot_move it et un nouveau hijack this stp
0
Réponse 18 / 43
papasiam
16 oct. 2007 à 19:06
Bonjour,


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:21, on 16/10/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\windowsys.com
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\Gothic.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\msms.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ccwd.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\xyk.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\hijackthis\HijackThis.exe
C:\WINDOWS\xyk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
O4 - HKLM\..\Run: [mackfy.exe] C:\WINDOWS\System32\msms.exe
O4 - HKLM\..\Run: [Windows Insecure] ccwd.exe
O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
O4 - HKLM\..\RunServices: [mackfy.exe] C:\WINDOWS\System32\msms.exe
O4 - HKLM\..\RunServices: [Windows Insecure] ccwd.exe
O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
O4 - HKCU\..\Run: [Windows Insecure] ccwd.exe
O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1482476501-152049171-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1482476501-152049171-725345543-1003\..\Run: [Windows Insecure] ccwd.exe (User '?')
O4 - HKUS\S-1-5-21-1482476501-152049171-725345543-1003\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)
O23 - Service: Webcam_Monitoring (WebcamMonitoring) - - C:\WINDOWS\xyk.exe
O23 - Service: system32 master (windowsys) - Unknown owner - C:\WINDOWS\windowsys.com
0
Réponse 19 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
16 oct. 2007 à 21:36
bonsoir,

le probleme de l´ecran bleu doit venir du par feu que je t´ai fais installer, c´est deja arrivé a plus d´un, mais n´arrive pas toujours sinon je ne le conseillerais pas; il est neanmoins tres performant, et ce probleme peu se resoudre (regarde ce qui est dis par ninix sur ce site et desactive tout ce qu´il dit de désactiver) :

http://www.libellules.ch/dotclear/index.php?2005/12/26/719-sunbelt-kerio-firewall

puis

fais ce scan en ligne, sous internet explorer et post le rapport ici :

https://www.bitdefender.com/toolbox/

Clique sur "I agree" et suis la manip.
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
17 oct. 2007 à 08:02
Slt

Je passe juste pour ==> Platform: Windows XP (WinNT 5.01.2600)
???
0
Réponse 20 / 43
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
17 oct. 2007 à 18:47
bonsoir marie,
oui il faudra mettre le service pack a jour...
0

Discussions similaires

Qui a un tableau de conversion Volt et Watt ?
tweety -
Moi -

10 réponses
Que veut dire ? Awww! Yay!
Malvine142 -
Fishou -

3 réponses
probléme de pilote wireless module AW-NB047H
Utilisateur anonyme -
Utilisateur anonyme -

23 réponses
Telecommande TV Samsung pour UE32H4000 AW
sirius341 -
baladur13 -

1 réponse
Rsync - Depuis un FTP sur AW s3
pcsystemd -
pcsystemd -

5 réponses