Infection Trojan Nebula et Vundo Fermé

Question

Bonjour,

Mon pc est vraisemblablement infecté par les deux trojans cités dans le titre. Ils m'ont été révélés par Navipromo (voir rapport ci-dessous).
J'ai effectué un nettoyage via CCleaner, un scan HijackThis (rapport joint) ainsi qu'un scan VundoFix qui n'a rien détecté. Tout ça a été effectué en mode sans échec.

Pourriez-vous m'indiquer la marche à suivre pour éradiquer ces deux Trojans ?

Je vous remercie d'avance.

Rapport Navipromo :

Rapport Navipromo.bat 0.71 effectué le 13/10/2007 à 15:54:01,54

L'opération se déroule en mode sans échec sous le compte LEMAITRE 

## Vérifications supplémentaires 

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux. 

* Navipromo

C:\WINDOWS\System32


* Trojan Nebula 



 * Trojan Vundo 

 
-------------

Rapport Navipromo.bat 0.71 effectué le 13/10/2007 à 15:54:52,00

L'opération se déroule en mode sans échec sous le compte LEMAITRE 

** Recherche...

Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode 


Rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:57, on 13/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\TBONBin	bon.exe
C:\Program Files\Creative\Shared Files\CamTray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Documents and Settings\All Users\Application Data\Skype\Plugins\Plugins\7F8A4A2B676D4EDEB6B6DC6F46FEFE41ingjack.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PD0620 STISvc] RunDLL32.exe P0620Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [tbon] C:\PROGRA~1\TBONBin	bon.exe /r
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Search - ?p=ZN
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger avec &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab50997.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab50997.cab
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiVirusPro2006FreeInstall_fr.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 1: (no name) - http://www.laprovence-emploi.com/layer_photos
O24 - Desktop Component 2: (no name) - http://webdata.ankama-games.com/misc/rat_thumb.jpg
O24 - Desktop Component 3: (no name) - https://image.jeuxvideo.com/pics/logo1.gif

Utilisateur anonyme · Answer

bonjour

Télécharger sur le bureau
[url=http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe]virtumundoBeGone[/url]

=> Double clic sur VirtumundoBeGone.exe
=> Clic Continue ==> clic Start
=> Clic Oui
=> A la fin si Vundo est présent , le PC s’éteint et redémarre
- Si Ecran bleu et message : Erreur fatale .. pas de problème
=> Poster le rapport VBG.TXT qui est sur le bureau

Dark Darius · Answer

Voici le rapport de VirtumundoBeGone :


[10/13/2007, 16:19:00] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\LEMAITRE\Bureau\VirtumundoBeGone.exe" )
[10/13/2007, 16:19:07] - Detected System Information:
[10/13/2007, 16:19:07] -  Windows Version: 5.1.2600, Service Pack 2
[10/13/2007, 16:19:07] -  Current Username: LEMAITRE (Admin)
[10/13/2007, 16:19:07] -  Windows is in NORMAL mode.
[10/13/2007, 16:19:07] - Searching for Browser Helper Objects:
[10/13/2007, 16:19:07] -  BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} ()
[10/13/2007, 16:19:07] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2007, 16:19:07] -  No filename found. Continuing.
[10/13/2007, 16:19:07] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[10/13/2007, 16:19:07] -  BHO 3: {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} ()
[10/13/2007, 16:19:07] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2007, 16:19:07] -  No filename found. Continuing.
[10/13/2007, 16:19:07] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/13/2007, 16:19:08] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[10/13/2007, 16:19:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/13/2007, 16:19:08] -  No filename found. Continuing.
[10/13/2007, 16:19:08] -  BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[10/13/2007, 16:19:08] -  BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[10/13/2007, 16:19:08] -  BHO 8: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[10/13/2007, 16:19:08] -  BHO 9: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[10/13/2007, 16:19:08] - Finished Searching Browser Helper Objects
[10/13/2007, 16:19:08] - Finishing up...
[10/13/2007, 16:19:08] - Nothing found! Exiting...


Cela veut-il dire que Vundo n'est pas présent ? Dans ce cas, pourquoi a-t-il été détecté par Navipromo ?

Merci de ta réponse...

Utilisateur anonyme · Answer

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Dark Darius · Answer

Voici le rapport de ComboFix : ComboFix 07-10-12.4 - LEMAITRE 2007-10-13 16:34:08.1 - NTFSx86 MINIMAL Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.613 [GMT 2:00] Running from: C:\Documents and Settings\LEMAITRE\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\LEMAITRE\err.log C:\WINDOWS\pack.epk C:\WINDOWS\system32\stera.log . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_FOPN -------\LEGACY_VSPF -------\LEGACY_VSPF_HK ------- m ((((((((((((((((((((((((((((( Fichiers créés 2007-09-13 to 2007-10-13 )))))))))))))))))))))))))))))))))))) . 2007-10-13 16:33 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-13 15:38 d-------- C:\VundoFix Backups 2007-10-13 14:42 d-------- C:\WINDOWS\system32\bfubackups 2007-10-13 14:37 d-------- C:\Navipromo 2007-10-13 14:21 d-------- C:\BFU 2007-10-08 19:38 139,264 --a------ C:\WINDOWS\War3Unin.exe 2007-10-08 19:38 60,825 --a------ C:\WINDOWS\War3Unin.dat 2007-10-08 19:38 2,829 --a------ C:\WINDOWS\War3Unin.pif 2007-10-08 19:35 d-------- C:\Program Files\Warcraft III 2007-10-08 18:58 d-------- C:\Documents and Settings\LEMAITRE\Application Data\gtk-2.0 2007-10-08 18:57 d-------- C:\Documents and Settings\LEMAITRE\.thumbnails 2007-10-08 18:45 d-------- C:\Documents and Settings\LEMAITRE\.gimp-2.2 2007-10-08 18:36 d-------- C:\Program Files\Gimp 2007-10-07 01:23 d-------- C:\Documents and Settings\LEMAITRE\Application Data\Hamachi 2007-10-07 01:22 d-------- C:\Program Files\Hamachi 2007-10-07 01:22 25,544 --a------ C:\WINDOWS\system32\drivers\hamachi.sys 2007-10-06 16:30 d-------- C:\Documents and Settings\All Users\Application Data\Ringjacker 2007-10-04 18:53 d-------- C:\Documents and Settings\LEMAITRE\Application Data\Ringjacker 2007-10-04 02:04 d-------- C:\Documents and Settings\LEMAITRE\Application Data\Skype 2007-10-04 02:03 d-------- C:\Program Files\Skype 2007-10-04 02:03 d-------- C:\Program Files\Fichiers communs\Skype 2007-10-04 02:03 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2007-10-04 01:59 d-------- C:\Documents and Settings\All Users\Application Data\Google Updater 2007-09-29 14:54 d-------- C:\WINDOWS\HS7QJQIPBQCY5DVH 2007-09-27 13:40 d-------- C:\Program Files\Dofus 2007-09-26 13:29 d-------- C:\Program Files\Ankama Games 2007-09-15 11:38 d-------- C:\Program Files\directx 2007-09-15 11:35 d-------- C:\Program Files\Infogrames . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-21 17:19 --------- d-----w C:\Program Files\Securitoo 2007-12-15 02:13 49 ----a-w C:\Documents and Settings\LEMAITRE\Uninstall.bat 2007-12-15 02:13 --------- d-----w C:\Program Files\WebTvX 2007-12-13 00:44 --------- d-----w C:\Program Files\Dekovir 2007-12-08 16:12 --------- d-----w C:\Program Files\Alwil Software 2007-12-07 16:27 --------- d-----w C:\Documents and Settings\LEMAITRE\Application Data\AdobeUM 2007-12-07 16:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar 2007-12-01 21:28 --------- d-----w C:\Program Files\DivX 2007-12-01 21:27 --------- d-----w C:\Program Files\vso 2007-12-01 18:01 503 ----a-w C:\Program Files\wrench.ico.lnk 2007-10-13 14:29 --------- d-----w C:\Documents and Settings\LEMAITRE\Application Data\OpenOffice.org2 2007-10-13 13:22 --------- d-----w C:\Program Files\Trend Micro 2007-10-08 19:34 --------- d-----w C:\Program Files\emule0.47a-Xtreme5.2.1 2007-10-07 01:48 --------- d-----w C:\Program Files\Lineage II 2007-10-06 22:27 --------- d-----w C:\Program Files\Windows Live Safety Center 2007-10-04 13:58 --------- d-----w C:\Program Files\Google 2007-09-22 14:38 --------- d-----w C:\Documents and Settings\LEMAITRE\Application Data eamspeak2 2007-09-18 19:30 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-09-18 19:30 --------- d-----w C:\Program Files\Croteam 2007-09-16 00:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-09-08 15:45 --------- d-----w C:\Documents and Settings\LEMAITRE\Application Data\dvdcss 2007-08-30 19:28 --------- d-----w C:\Program Files\Ubisoft 2007-08-29 14:07 --------- d-----w C:\Program Files\Codemasters(2) 2007-08-29 13:53 --------- d-----w C:\Program Files\Notepad++ 2007-08-29 13:53 --------- d-----w C:\Documents and Settings\LEMAITRE\Application Data\Notepad++ 2007-08-28 21:18 --------- d-----w C:\Program Files\Techland 2007-08-28 00:05 --------- d-----w C:\Program Files\Alcohol Soft 2007-08-24 18:45 --------- d-----w C:\Program Files\Macrogaming 2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-08-13 11:28 --------- d-----w C:\Program Files\Java 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 -c--a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll 2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-07-27 22:07 783,224 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-07-27 21:57 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2006-10-24 16:35 6,053,667 -c--a-w C:\Program Files\emule0.47a-Xtreme5.2.1.rar 2006-04-07 12:19 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-03-15 17:43 4,286 -c--a-w C:\Program Files\wrench.ico 2005-03-31 21:17 40,960 -c--a-w C:\Program Files\Uninstall_CDS.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-10-28 22:05] "C-Media Mixer"="Mixer.exe" [2002-03-04 05:02 C:\WINDOWS\mixer.exe] "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 14:54] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 C:\WINDOWS\AGRSMMSG.exe] "PD0620 STISvc"="P0620Pin.dll" [2005-05-10 19:03 C:\WINDOWS\system32\P0620Pin.dll] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-17 21:16] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03] "Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-24 00:38] "Cmaudio"="cmicnfg.cpl" [] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 14:00 C:\WINDOWS\system32\bthprops.cpl] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00] "PowerBar"="" [] "tbon"="C:\PROGRA~1\TBONBin bon.exe" [2006-04-28 03:40] "Creative WebCam Tray"="C:\Program Files\Creative\Shared Files\CamTray.exe" [2005-10-27 20:00] "ccleaner"="C:\Program Files\CCleaner\ccleaner.exe" [2006-10-19 22:29] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2007-05-27 21:22] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-08 11:06] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-09-13 13:31] R3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" S3 RescueDrv;Inventel Access Point USB Rescue Driver;C:\WINDOWS\system32\Drivers esc_dwb.sys S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-10-13 14:00:01 C:\WINDOWS\Tasks\HPpromotions photosmart 2600 series.job" "2007-10-13 01:46:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job" . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-13 16:40:55 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-13 16:44:21 - machine was rebooted . --- E O F --- Reste-il d'autres manipulation à effectuer ? Merci pour ton soutien ! ;)

Utilisateur anonyme · Answer

je fait des recherche sur combofix
tu peut faire ceci

faire ceci
Télécharger sur le bureau : [url=http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe]navilog.exe[/url]

= Double-Clic navilog1.zip
= Extraire tout ( ou extraire sans confirmation ou unzip)
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

le rapport se trouve dans c: fixnavi.txt

tu postes ce rapport.

---------------------
2°) Télecharger [url=http://www.malekal.com/download/clean.zip]clean.zip[/url] sur le bureau
Dézipper sur le bureau.
= ouvrir le dossier clean
= cliquer sur le symbole roue dentée avec le nom clean
= choisir l'option 1 et laisser clean travailler jusqu'à l'apparition du texte "appuyer sur une touche pour continuer"
= ensuite colle le rapport

Dark Darius · Answer

1er rapport de Navilog :

Search Navipromo version 3.2.1 commencé le 13/10/2007 à 16:59:45,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\LEMAITRE\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\LEMAITRE\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\DOCUME~1\LEMAITRE\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 13/10/2007 à 17:00:16,15 ***

2ème rapport de Clean :

 13/10/2007 a 17:02:25,35 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\P0620Pin.dll FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
"C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\" FOUND 
"C:\Program Files\msn messengeriched20.dll" FOUND 
"C:\Program Files\TBONBin\" FOUND 
*** Fin du rapport ! 

J'attends ta réponse... ^^

Utilisateur anonyme · Answer

pour navilog c'est ok 

relance par contre clean et prend cette fois-ci l'option 2
a faire en mode sans echec

mais avant télécharge ceci

Télécharge:
http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe  AVG-AntiSpyware
= Installer
= Le lancer
= Clic : Mise à jour
--------------------------------------------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
= Dans ANALYSE ( en forme de loupe )
==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions <== ceci Très important
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
----------------------------------------------
En mode normal
colle le rapport

Dark Darius · Answer

Voilà ! J'ai effectué un scan complet avec AVG-AntiSpyware et des cookies ont été supprimés. Mais aucune virus quelconque n'a été trouvé.

Ensuite, voici le rapport ce Clean :

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 13/10/2007 a 19:06:07,35 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\P0620Pin.dll 
 
*** Suppression des fichiers dans C:\Program Files 
tentative de suppression de "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\" 
tentative de suppression de "C:\Program Files\msn messenger\riched20.dll" 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 

Suite au redémarrage, un message d'erreur est apparu :

Erreur de chargement : P0620Pin.dll
Le module spécifié est introuvable.

Est-ce normal ?

Utilisateur anonyme · Answer

relance en mode sans echec clean et choisis l'option 2

Infection Trojan Nebula et Vundo

9 réponses

Discussions similaires