win32.worm.irc.tedeto.aRésolu/Fermé

Question

Bonjour,

J'ai attrapé un virus ou des trojan. Ce  qui est sur c'est que j'en ai plus q’un.

BitDefender a trouvé ce qui suit.

Win32.Worm.IRC.Tedeto.A
Packer.FSG.A
Trojan.Clicker.Agent.NP
Rootkit.Agent.GV
Trojan.Downloader.Small.AAGG
Win32.Virtob.6.Gen
Trojan.Vundo.DNR
Trojan.BAT.Sdel.F
Backdoor.IRC.Zapchast.NY

Quand je navigue sur Internet, des pages (non voulus) apparaissent et l’Internet semble être un peu plus lent.

J’ai redémarré en mode sans échec. Puis j’ai fait marcher les programmes qui suivent.

SmitfraudFix
VundoFix
ComboFix

Ccleaner
Ad-Aware
Spybot Search & Destroy
AVG Anti-Spyware
Norton antivirus

Malgré tous mes efforts, le problème persiste.

Y’ a-t-il quelqu'un qui pourrait m’aider avec ce problème?

Merci beaucoup d’avance.

Jonathan

IL-MAFIOSO · Answer

Salut,

Poste le rapport de Bitdefender si tu l'as encore. Ensuite :

Rends toi sur ce lien :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe 
pour télécharger le fichier d'installation d'HijackThis. 
Enregistre HJTInstall.exe sur ton bureau. 

Double-clique sur HJTInstall.exe
Celà va installer Hijackthis

Accepte la license en cliquant sur le bouton "I Accept" 
Choisis l'option "Do a system scan and save a log file" 
Ne coche rien.
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note 
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport 
Colle le rapport que tu viens de copier dans une réponse.

oldp0rt · Answer

Salut, Voici le Hijackthis save.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:52:58, on 2007-10-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

IL-MAFIOSO · Answer

Vu les outils que tu as déjà utilisé : SmitfraudFix, VundoFix et ComboFix .
J'aimerais bien voir ces rapports pour voir ou on en est.

Ensuite, refais un scan avec l'outil qui t'avais trouvé tous ces trojans et poste le rapport d'analyse.

oldp0rt · Answer

Voici enfin le rapport BitDefender



BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Sat, Oct 20, 2007 - 00:26:26
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 01:38:32
 
Fichiers
 290676
 
Directoires
 6378
 
Secteurs de boot
 3
 
Archives
 3973
 
Paquets programmes
 18257
 
  
  
 
Résultats
 
Virus identifiés
 3
 
Fichiers infectés
 3
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 2
 
  
  
 
Info sur les moteurs
 
Définition virus
 840732
 
Version des moteurs
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 7
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
 Infecté par: Trojan.Bat.Sdel.F
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
 Echec de la désinfection
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
 Supprimé
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe
 Echec de la mise à jour
 
C:\WINDOWS\system32\mljjh.dll
 Détecté avec: Adware.Virtumonde.GGX
 
C:\WINDOWS\system32\mljjh.dll
 Echec de la désinfection
 
C:\WINDOWS\system32\mljjh.dll
 Echec de la suppression
 
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
 Infecté par: Trojan.Bat.Sdel.F
 
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
 Echec de la désinfection
 
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
 Supprimé
 
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe
 Echec de la mise à jour

oldp0rt · Answer

le rapport SmitfraudFix



SmitFraudFix v2.240

Rapport fait à  9:13:17,43, 2007-10-20
Executé à partir de C:\Documents and Settings\Jonathan\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DD58215B-7DF9-4D3A-9F96-14B143D71225}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DD58215B-7DF9-4D3A-9F96-14B143D71225}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DD58215B-7DF9-4D3A-9F96-14B143D71225}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

oldp0rt · Answer

le rapport de combofix ComboFix 07-08-04.3 - "Jonathan" 2007-10-20 9:36:38.4 [GMT -4:00] - NTFS Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.Vrai ((((((((((((((((((((((((( Files Created from 2007-09-20 to 2007-10-20 ))))))))))))))))))))))))))))))) 2007-10-20 09:30 d-------- C:\VundoFix Backups 2007-10-19 05:51 d-------- C:\Program Files\Trend Micro 2007-10-17 22:28 d-------- C:\WINDOWS\ERUNT 2007-10-17 17:52 d-------- C:\WINDOWS\BDOSCAN8 2007-10-16 05:32 389,184 --a------ C:\WINDOWS\system32\iskmewon.exe 2007-10-15 22:28 d-------- C:\DOCUME~1\Jonathan\Contacts 2007-10-15 05:32 389,184 --a------ C:\WINDOWS\system32\wsxlkbom.exe 2007-10-15 05:30 323,085 ---hs---- C:\WINDOWS\system32\hjjlm.bak2 2007-10-14 12:55 6,505 ---hs---- C:\WINDOWS\system32\hjjlm.bak1 2007-10-14 12:54 308,832 --a------ C:\WINDOWS\system32\mljjh.dll 2007-10-12 15:01 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2007-10-11 15:54 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2007-10-11 12:27 96,832 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys 2007-10-04 21:53 d-------- C:\Program Files\Druide 2007-10-03 19:23 d-------- C:\DOCUME~1\Jonathan\APPLIC~1\Druide (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-10-20 09:13 2954 --a------ C:\WINDOWS\system32 mp.reg 2007-10-20 09:10 --------- d-------- C:\DOCUME~1\Jonathan\APPLIC~1\uTorrent 2007-10-20 03:47 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared 2007-10-17 19:52 --------- d-------- C:\Program Files\MSN Messenger 2007-10-16 21:44 --------- d-------- C:\Program Files\Messenger Plus! Live 2007-10-16 05:40 --------- d-------- C:\Program Files\GameFace Messenger 2007-10-16 05:40 --------- d-------- C:\Program Files\ASUS 2007-10-06 15:00 4608 --a------ C:\WINDOWS\system32\BReWErS.dll 2007-09-27 13:38 --------- d-------- C:\Program Files\Norton AntiVirus 2007-09-16 12:20 45264 --a------ C:\DOCUME~1\Jonathan\APPLIC~1\GDIPFONTCACHEV1.DAT 2007-09-15 11:42 20016 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys 2007-09-14 13:31 --------- d-------- C:\Program Files\Common Files 2007-09-11 17:39 --------- d-------- C:\Program Files\SymNetDrv 2007-09-11 17:39 --------- d-------- C:\Program Files\Symantec 2007-09-11 17:27 4608 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys 2007-09-11 16:46 249856 --------- C:\WINDOWS\Setup1.exe 2007-09-11 16:45 73216 --a------ C:\WINDOWS\ST6UNST.EXE 2007-09-11 16:40 --------- d-------- C:\DOCUME~1\Jonathan\APPLIC~1\Symantec 2007-09-08 19:56 --------- d-------- C:\Program Files\Hunting Unlimited 2008 2007-09-05 22:29 --------- d-------- C:\DOCUME~1\Jonathan\APPLIC~1\PlayFirst 2007-08-30 19:54 --------- d-------- C:\Program Files\Fichiers communs\ACD Systems 2007-08-10 15:56 93128 --a------ C:\WINDOWS\system32\ElbyCDIO.dll 2007-08-02 17:53 48856 --a------ C:\WINDOWS\system32\perfc00C.dat 2007-08-02 17:53 368076 --a------ C:\WINDOWS\system32\perfh00C.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{89AD4D75-2429-462e-BD4E-443F233F6033}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}] 2007-10-14 12:54 308832 --a------ C:\WINDOWS\system32\mljjh.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X Configure"="C:\WINDOWS\System32\JMRaidTool.exe" [2006-06-02 04:45] "AsusServiceProvider"="C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe" [2006-08-03 05:25] "Ai Nap"="C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe" [2006-08-22 13:46] "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 06:07] "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 10:19] "nwiz"="nwiz.exe" [2006-02-13 09:05 C:\WINDOWS\system32 wiz.exe] "CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 15:21] "SmcService"="C:\PROGRA~1\Sygate\SPF\Smc.exe" [2002-09-11 09:25] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 05:25] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 17:32] "Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-09-11 17:39] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-01-26 00:23] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-13 09:05] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AnyDVD"="C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe" [2007-10-11 18:35] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45] "Gestionnaire Antidote.exe"="C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe" [2006-12-06 17:43] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55] C:\Documents and Settings\Jonathan\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-30 20:55:37] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-30 20:55:37] Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-09-23 23:05:26] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{63288392-646C-4E1F-8FEE-3270517E88E7}"= C:\WINDOWS\system32\pmnkhge.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\pmnkhge] pmnkhge.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll R0 JGOGO;JMicron Hot-Plug Driver;C:\WINDOWS\system32\DRIVERS\JGOGO.sys R0 JRAID;JRAID;C:\WINDOWS\system32\DRIVERS\jraid.sys R0 Teefer;Teefer for NT;C:\WINDOWS\system32\Drivers\Teefer.sys R1 AsIO;AsIO;C:\WINDOWS\system32\drivers\AsIO.sys R1 asuskbnt;Enhanced Display Driver Helper Service;C:\WINDOWS\system32\drivers\atkkbnt.sys R1 Cdr4_xp;Cdr4_xp;C:\WINDOWS\system32\drivers\Cdr4_xp.sys R1 cdudf_xp;cdudf_xp;C:\WINDOWS\system32\drivers\cdudf_xp.sys R1 DVDVRRdr_xp;DVDVRRdr_xp;C:\WINDOWS\system32\drivers\DVDVRRdr_xp.sys R1 pwd_2k;pwd_2k;C:\WINDOWS\system32\drivers\pwd_2k.sys R1 SCDEmu;SCDEmu;C:\WINDOWS\system32\drivers\SCDEmu.sys R1 UDFReadr;UDFReadr;C:\WINDOWS\system32\drivers\UDFReadr.sys R1 wpsdrvnt;wpsdrvnt;\??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys R2 atksgt;atksgt;C:\WINDOWS\system32\DRIVERS\atksgt.sys R2 EIO;EIO;\??\C:\WINDOWS\system32\drivers\EIO.sys R2 lirsgt;lirsgt;C:\WINDOWS\system32\DRIVERS\lirsgt.sys R2 wg3n;SyGate for NT, wg3n;C:\WINDOWS\system32\Drivers\wg3n.sys R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys R3 dvd_2K;dvd_2K;C:\WINDOWS\system32\drivers\dvd_2K.sys R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys R3 ElbyDelay;ElbyDelay;C:\WINDOWS\system32\Drivers\ElbyDelay.sys R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys R3 NTIDrvr;Upper Class Filter Driver;C:\WINDOWS\system32\DRIVERS\NTIDrvr.sys R3 SenFiltService;SenFilt Service;C:\WINDOWS\system32\drivers\Senfilt.sys R3 vaxscsi;vaxscsi;C:\WINDOWS\system32\Drivers\vaxscsi.sys S1 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb32.sys S3 mmc_2K;mmc_2K;C:\WINDOWS\system32\drivers\mmc_2K.sys S3 SilverLink;Texas Instruments SilverLink (USB GraphLink) Cable;C:\WINDOWS\system32\Drivers\SilvrLnk.sys S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys S3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys S3 TICalc;TICalc;C:\WINDOWS\system32\drivers\TICalc.sys S3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys S4 Eidclasm_sp;Eidclasm_sp;C:\WINDOWS\system32\drivers\mtlstrm.sys Contents of the 'Scheduled Tasks' folder 2007-10-20 02:46:38 C:\WINDOWS\Tasks\Norton AntiVirus - Scan my computer - Jonathan.job ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-20 09:37:28 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-10-20 9:38:21 --- E O F ---

IL-MAFIOSO · Answer

Ok, il y a encore du Vundo. Fais ceci, repère l'icône de Hijackthis et renomme le en scanner.exe
Puis lance-le et poste le rapport. On traitera ensuite.

oldp0rt · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:12, on 2007-10-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D4E79F4A-B12F-4616-8A1E-4E0220A87D0A} - C:\WINDOWS\system32\mljjh.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows Security Centers] C:\RECYCLER\msnmrsgrs.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: pmnkhge - pmnkhge.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

IL-MAFIOSO · Answer

çà faut le faire :

O4 - HKLM\..\Run: [Windows Security Centers] C:\RECYCLER\msnmrsgrs.exe 
Même depuis la corbeille les bestioles se lancent maintenant. C'est rare.
Je regarde tout celà et te fais savoir

IL-MAFIOSO · Answer

Bon commençons en douceur :

Télécharge MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau. 
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau. 
Exécute l'option R. 
Si l'infection est détectée, un message apparaitra
Pour lancer le nettoyage, il suffit d'appuyer sur n'importe quelle lettre du clavier puis valider par Entrée
Sauvegarde ce rapport sur ton bureau. 

Poste moi ce rapport dans ta prochaine réponse ainsi qu'un nouveau log hijackthis

oldp0rt · Answer

Voici le rapport. Puis dans le message juste avant la ligne mentionné, est elle pour supprimé?


MSNFix 1.551  
 
C:\Documents and Settings\Jonathan\Bureau\MSNFix 
Fix exécuté le 2007-10-20 - 17:16:05,78 By Jonathan 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\cookies.ini 
... C:\WINDOWS\system32\dxdll\svchost.exe 

************************  MSNCHK ***** /!\ beta test /!\


 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\WINDOWS\cookies.ini  
.. OK ... C:\WINDOWS\system32\dxdll\svchost.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 2007-10-20_17164421.zip
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

IL-MAFIOSO · Answer

Salut,

Non on va faire un tir groupé. Mais reposte moi un Log hijackthis comme demandé. Merci

oldp0rt · Answer

Voici le rapport hijack this


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:40, on 2007-10-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe.exe
C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {42CC05E0-7F22-4D1A-9FD1-95F08960D9F8} - C:\WINDOWS\system32\mljjh.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: pmnkhge - pmnkhge.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

IL-MAFIOSO · Answer

Salut,

1) Lances hijackthis, do a scan only. coches sur la gauche ces lignes :

O2 - BHO: (no name) - {42CC05E0-7F22-4D1A-9FD1-95F08960D9F8} - C:\WINDOWS\system32\mljjh.dll 
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - (no file) 
O20 - Winlogon Notify: pmnkhge - pmnkhge.dll (file missing) 

Cliques ensuite sur fixchecked et valides, Fermes hijackthis

2) télécharge OTMoveIt (de Old_Timer) sur ton Bureau :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\mljjh.dll
C:\WINDOWS\system32\hjjlm.bak2
C:\WINDOWS\system32\hjjlm.bak1


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

3) Redémarre ton PC et reposte un log hijackthis

4) Ouvres ton poste de travail puis :
Outils/Options des dossiers/Affichage et 
- cocher "afficher les dossiers et fichiers cachés", 
- décocher "masquer les extensions des fichiers dont le type est connu". 
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)" 
"appliquer" et "ok" 

Tu verras des fichiers/dossiers en +, même sur ton bureau, c'est normal et ne supprime rien.

5) Rends-toi sur : 
www.virustotal.com/flash/index_en.html 
- Cliquez sur "Distribute" une fois pour obtenir un trait rouge barrant l'icône : 
- Cliquez ensuite sur le bouton "Parcourir..." pour récupérer le fichier à scanner. en gras : 

C:\WINDOWS\system32\iskmewon.exe

- Pour finir, cliquez sur "Send" pour faire analyser votre fichier. 
- Copie-colle le rapport dans une réponse une fois le scan terminé.

Refais la même chose avec ce fichier :

C:\WINDOWS\system32\wsxlkbom.exe

oldp0rt · Answer

Voici le rapport de Ot Moveit


LoadLibrary failed for C:\WINDOWS\system32\mljjh.dll
C:\WINDOWS\system32\mljjh.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\mljjh.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\hjjlm.bak2 moved successfully.
C:\WINDOWS\system32\hjjlm.bak1 moved successfully.
 
Created on 10-21-2007 17:01:00



Puis le rapport de hijackthis apres que moveit a ( reboot )


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:56, on 2007-10-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {39C94A23-940F-473F-8C4B-293ECD9C974F} - C:\WINDOWS\system32\mljjh.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

oldp0rt · Answer

Voici pour iskmewon.exe

Antivirus Version Last Update Result 
AhnLab-V3 2007.10.20.0 2007.10.19 - 
AntiVir 7.6.0.27 2007.10.21 ADSPY/SecToolBar.G.1 
Authentium 4.93.8 2007.10.20 - 
Avast 4.7.1051.0 2007.10.21 - 
AVG 7.5.0.488 2007.10.21 Adware Generic2.TWV 
BitDefender 7.2 2007.10.21 - 
CAT-QuickHeal 9.00 2007.10.20 AdWare.SecToolBar.g (Not a Virus) 
ClamAV 0.91.2 2007.10.21 - 
DrWeb 4.44.0.09170 2007.10.21 Trojan.Hammer 
eSafe 7.0.15.0 2007.10.21 - 
eTrust-Vet 31.2.5225 2007.10.20 - 
Ewido 4.0 2007.10.21 - 
FileAdvisor 1 2007.10.21 - 
Fortinet 3.11.0.0 2007.10.19 - 
F-Prot 4.3.2.48 2007.10.20 - 
F-Secure 6.70.13030.0 2007.10.21 - 
Ikarus T3.1.1.12 2007.10.21 Trojan.Win32.Obfuscated.ex 
Kaspersky 7.0.0.125 2007.10.21 not-a-virus:AdWare.Win32.SecToolBar.g 
McAfee 5145 2007.10.19 - 
Microsoft 1.2908 2007.10.21 - 
Norman 5.80.02 2007.10.19 Busky.C 
Panda 9.0.0.4 2007.10.21 Adware/SecurityToolbar 
Prevx1 V2 2007.10.21 Trojan.Vundo 
Rising 19.45.62.00 2007.10.21 - 
Sophos 4.22.0 2007.10.21 Mal/Behav-010 
Sunbelt 2.2.907.0 2007.10.20 - 
Symantec 10 2007.10.21 Trojan Horse 
TheHacker 6.2.9.103 2007.10.21 Adware/SecToolBar.g 
VBA32 3.12.2.4 2007.10.19 Trojan.Hammer 
VirusBuster 4.3.26:9 2007.10.21 - 
Webwasher-Gateway 6.6.1 2007.10.21 Ad-Spyware.SecToolBar.G.1 
Additional information 
File size: 389184 bytes 
MD5: fcff9384d0184837d87f4d4738821fba 
SHA1: 817f9b53e13257a40d49190d9fdf95625d841869 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=28F61A81408D08E7F0170523F5B6A6005E80615B 




Et voici celui pour wsxlkbom.exe

Antivirus Version Last Update Result 
AhnLab-V3 2007.10.20.0 2007.10.19 - 
AntiVir 7.6.0.27 2007.10.21 ADSPY/SecToolBar.G 
Authentium 4.93.8 2007.10.20 - 
Avast 4.7.1051.0 2007.10.21 - 
AVG 7.5.0.488 2007.10.21 Adware Generic2.TWV 
BitDefender 7.2 2007.10.21 Adware.Vundo.AV 
CAT-QuickHeal 9.00 2007.10.20 AdWare.SecToolBar.g (Not a Virus) 
ClamAV 0.91.2 2007.10.21 - 
DrWeb 4.44.0.09170 2007.10.21 Trojan.Hammer 
eSafe 7.0.15.0 2007.10.21 - 
eTrust-Vet 31.2.5225 2007.10.20 - 
Ewido 4.0 2007.10.21 - 
FileAdvisor 1 2007.10.21 - 
Fortinet 3.11.0.0 2007.10.19 - 
F-Prot 4.3.2.48 2007.10.20 W32/Adware.YIG 
F-Secure 6.70.13030.0 2007.10.21 - 
Ikarus T3.1.1.12 2007.10.21 Trojan.Win32.Obfuscated.ex 
Kaspersky 7.0.0.125 2007.10.21 not-a-virus:AdWare.Win32.SecToolBar.g 
McAfee 5145 2007.10.19 - 
Microsoft 1.2908 2007.10.21 - 
NOD32v2 2604 2007.10.19 Win32/Adware.SecToolbar 
Norman 5.80.02 2007.10.19 Busky.C 
Panda 9.0.0.4 2007.10.21 Spyware/Virtumonde 
Prevx1 V2 2007.10.21 Trojan.Vundo 
Rising 19.45.62.00 2007.10.21 - 
Sophos 4.22.0 2007.10.21 Mal/Behav-010 
Sunbelt 2.2.907.0 2007.10.20 - 
Symantec 10 2007.10.21 Trojan.Vundo 
TheHacker 6.2.9.103 2007.10.21 Adware/SecToolBar.g 
VBA32 3.12.2.4 2007.10.19 Trojan.Hammer 
VirusBuster 4.3.26:9 2007.10.21 - 
Webwasher-Gateway 6.6.1 2007.10.21 Ad-Spyware.SecToolBar.G 
Additional information 
File size: 389184 bytes 
MD5: 1c8199a5b489ec94ec08216a99d8d547 
SHA1: 1dbb2fecafec2603b99f9459d7078fdfe0c33c69 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=F232948040DB3D45F03E0523F5B6A60015FBD8D9

IL-MAFIOSO · Answer

Coriace apparement. 

Je précise que cette manipulation qui va suivre est exclusivement dédié au cas de oldp0rt. 
Ne dois pas être utilisé pour un autre PC.

1) Copie les lignes de ce qui est en gras d'un trait (en une seule fois). Pour t'aider je t'ai séparé ce que tu dois copié avec des #
Surtout ne copie pas les # mais bien ce qu'il y a entre. Tu as un doute, ne fait rien et avise moi.
Cet outil est puissant. Donc prudence.

##########################################
Registry keys to delete: 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39C94A23-940F-473F-8C4B-293ECD9C974F} 

Files to Delete: 
C:\WINDOWS\system32\mljjh.dll
C:\WINDOWS\system32\iskmewon.exe
C:\WINDOWS\system32\wsxlkbom.exe
##########################################

--> Clic droit / "copier" 

2) Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte". Ouvre-le et colle dedans ce que tu viens de copier précédemment 
- Enregistre ce fichier sur ton bureau (nom : mad.txt) 

- Télécharge à présent The Avenger ici http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 
- Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe" 
- Clique sur "Ok" 
- Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier. 
- Sélectionne le fichier mad.txt qui est sur ton bureau 
- Clique sur le feu vert pour lancer le script 
- Clique sur "Oui" 
- Accepte de redémarrer ton pc 

après le redémarrage : 

- Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici. 
- nouveau Log HijackThis

oldp0rt · Answer

merci de prendre le temps de maider.

voici le (log) de avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yvsrtkhg

*******************

Script file located at: \??\C:\WINDOWS\rjadujhk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\mljjh.dll deleted successfully.
File C:\WINDOWS\system32\iskmewon.exe deleted successfully.
File C:\WINDOWS\system32\wsxlkbom.exe deleted successfully.


Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39C94A23-940F-473F-8C4B-293ECD9C974F} not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39C94A23-940F-473F-8C4B-293ECD9C974F} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

oldp0rt · Answer

pour hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:33, on 2007-10-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C09CCFAB-3283-4E60-A2D1-B7ACE2EE8125} - C:\WINDOWS\system32\mljjh.dll (file missing)
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

IL-MAFIOSO · Answer

Salut,

Lance hijackthis, do a scan only. coches sur la gauche ceci :

O2 - BHO: (no name) - {C09CCFAB-3283-4E60-A2D1-B7ACE2EE8125} - C:\WINDOWS\system32\mljjh.dll (file missing) 

Clique sur fixchecked et valide. Ferme hijackthis


Ensuite met à jour Bitdefender et refais un scan. Poste le rapport complet quel que soit le résultat

afideg · Answer

Up
Just for see.
Thanks.

Note: Combo ==>

•[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}] 
2007-10-14 12:54 308832 --a------ C:\WINDOWS\system32\mljjh.dll
•[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 
"{63288392-646C-4E1F-8FEE-3270517E88E7}"= C:\WINDOWS\system32\pmnkhge.dll [ ] 
•[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\pmnkhge] 
pmnkhge.dll 
•[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll 


1)- BFU.reg ou Fix.reg ?


2)- Aussi peut-être télécharger VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 
Double- clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste dans ta prochaine réponse le rapport VBG.TXT créé sur le bureau. 
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.



Bonne chance
Bonne journée
Al.

IL-MAFIOSO · Answer

Salut afideg,

Pas évident ici de faire faire des fixreg. Faut être très précis afin qu'il copie ce qu'il faut.
Je voyais celà en manuel pour cette clé entre autre :

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll 

car normalement ce devrait être :

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0

afideg · Answer

Re,

Je la vois plutôt ainsi :

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 
"Authentication Packages"=""

pour réinitialiser Authentication Packages.

Qu'en penses-tu ?

Al.

oldp0rt · Answer

bon voici le Bitdefender log.

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Tue, Oct 23, 2007 - 16:06:09
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 01:32:29
 
Fichiers
 293115
 
Directoires
 6381
 
Secteurs de boot
 3
 
Archives
 3977
 
Paquets programmes
 18597
 
  
  
 
Résultats
 
Virus identifiés
 3
 
Fichiers infectés
 5
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 5
 
  
  
 
Info sur les moteurs
 
Définition virus
 857527
 
Version des moteurs
 AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 7
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
 Détecté avec: Adware.Virtumonde.GGX
 
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
 Echec de la désinfection
 
C:\Program Files\Trend Micro\HijackThis\backups\backup-20071021-165807-471.dll
 Supprimé
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
 Infecté par: Trojan.Bat.Sdel.F
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
 Echec de la désinfection
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe=>(RAR Sfx o)
 Supprimé
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP383\A0055376.exe
 Echec de la mise à jour
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
 Détecté avec: Adware.Virtumonde.GGX
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP414\A0059263.dll
 Supprimé
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
 Détecté avec: Adware.Virtumonde.GGX
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP415\A0059313.dll
 Supprimé
 
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
 Infecté par: Trojan.Bat.Sdel.F
 
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
 Echec de la désinfection
 
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe=>(RAR Sfx o)
 Supprimé
 
E:\IMAGES & OTHERS\cd stuff\New nov 2006\Virus deletion\ComboFix.exe
 Echec de la mise à jour

IL-MAFIOSO · Answer

Salut,

afideg : c'est une valeur qui a été modifiée par Vundo. La clé légitime doit être :

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=msv1_0 

L'infection a rajouté son fichier derrière, c'est tout.
Si tu fais un fix reg, tu supprimes ou réinitialise OK, mais il faut s'assurer que soit recrée  cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot.
Car dans le cas ou celà ne se fait pas, le User risque d'avoir de grandes difficultées à se logguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe.

 oldp0rt, tu es à l'aise dans les manips qu'on fait ?

afideg · Answer

Bonjour TLM,

Cit. "interprêtée" : « Si tu ....  réinitialises: OK. Mais il faut s'assurer que soit recréée cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot » ==> ai-je bien interprêté ?

Dans ce cas, comment faire ces deux vérifications:
•- « qu'elle (Authentication Packages) soit recréée cette "sous clé" (lsa) avec les paramètres légitimes (msv1_0) » ?
•- « ou la recréer (ou qu'elle soit recréée) en même temps avant le reboot » ==> je ne saisi pas (c'est "avant" ou bien "au" reboot ?) ==> même ainsi, je ne vois pas comment s'en assurer ?


En réalité, je ne fais que recopier cette leçon :
• On ne met pas de signe - devant le HKEY lorsqu'on veut supprimer la valeur d'une sous-clé, par exemple, si on a cette valeur "AppInit_DLLs" nuisible :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"="C:\windows\system32\repairs.dll"
• On utilisera plutôt ce .reg qui réinitialise la valeur:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

(Sans aucune mesure de précaution, ni aucune vérification préventive) ==> c'est ce que je ne comprends pas; bien que je puisse accepter que sur ce PC il y ait détournement Vundo : [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljjh.dll; ==> je m'étonne d'ailleurs de l'absence de guillemets.

Réponse ici, ou en MP, ou sur SOS si tu l'acceptes.
Merci pour ta générosité.

Bonne continuation
Al.

IL-MAFIOSO · Answer

oldp0rt : Dis moi lorsque tu es prêt à faire la suite. Entre temps tu peux profiter de cette discussion enrichissante.

Afideg,

On utilisera plutôt ce .reg qui réinitialise la valeur:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="" 


Il arrive souvent que même Hijackthis n'arrive pas à fixer cette ligne 20. Dans ces cas ,moi j'ai l'habitude de faire les deux pour AppInit_DLLs , bien + efficace :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=-
"AppInit_DLLs"="" 

Concernant "Authentication Packages"= msv1_0

Voici ce que dit Microsoft :

Do not change the value of this entry. Windows cannot operate with authentication packages other than MSV 1_0. If you change this value or delete the entry, no one will be able to log on to Windows

Réinitialiser cette valeur pourquoi pas, mais quelle sera cette nouvelle valeur ? Es-tu sûr que la donnée de cette clé sera à nouveau MSV 1_0 ou bien la donnée sera vide ?

Tu te souviens des lignes F2 qui étaient aussi Hijacké dans certaines infections ?

Moi je ne préfère pas prendre le risque pour ce genre de clé. Car si celà foire, c'est la mouise

afideg · Answer

Re,
OK, 
C'est assez clair comme ceci.
Attendons d'autres expériences ou échos.
Respectueusement.
Al.


EDIT: Voici un dernier écho:

1°- Selon J.Chrét., le bon argument est bien :
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=""
Chez moi, cette valeur existe bien, mais la donnée de la valeur est vide.

Si on met le signe -, comme ceci: 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=- 
la valeur est supprimée, ce qui peut poser des problèmes de démarrage de XP.

J;Chrét. disait qu'on peut la virer avec Avenger en utilisant la commande Registry values to replace with dummies, ce qui correspond bien à cet argument =""

2°- Dans un récent rapport de SDfix, on lit :  Resetting AppInit_DLLs value
Je pense que ça répond exactemement à la question qui était posée !


Bien à toi
Al.

oldp0rt · Answer

IL-MAFIOSO,

J'ai lue ce que tu a ecrit en haut mais je suis pas sur de ce que tu veut que je fasse.


--------------------------
L'infection a rajouté son fichier derrière, c'est tout. 
Si tu fais un fix reg, tu supprimes ou réinitialise OK, mais il faut s'assurer que soit recrée cette "sous clé" avec les paramètres légitimes ou la recréer en même temps avant le reboot. 
Car dans le cas ou celà ne se fait pas, le User risque d'avoir de grandes difficultées à se logguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe. 

oldp0rt, tu es à l'aise dans les manips qu'on fait ?
--------------------------------

Et je fait tu les choses que les autres mentionne plus haut?

meri

IL-MAFIOSO · Answer

Salut afideg,

la valeur est supprimée, ce qui peut poser des problèmes de démarrage de XP.  

Oui mais tu n'as pas lu ce que j'ai mis : 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 
"AppInit_DLLs"=- 
"AppInit_DLLs"="" 

Je la supprime pour la recréer aussitôt. Dans certains cas, c'est le seul moyen pour réinitialiser. Et comme apparement tu questionne jean-chretien1, il ne te dira pas le contraire car lui même utilise aussi celà dans certains cas. 

Mais dans le cas de ce topic, la données de la valeur ne doit pas être vide. Sinon le user ne pourra plus entrer dans Windows, que ce soit en mode normal ou mode sans échec.
Dans cet exemple, il faut impérativement que la donnée soit MSV 1_0

oldp0rt non ne fait rien pour l'instant, je te dirais les manips en détails.

afideg · Answer

Bonjour et merci IL-MAFIOSO,
Oui, j'étais passé outre de: 
"AppInit_DLLs"=- 
"AppInit_DLLs"=""
Merci pour tout.
Al.

IL-MAFIOSO · Answer

Salut oldp0rt,

1)Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est entre les ######, ligne vide comprise (copie tout d'un trait). Ne copie pas les ###### : 

######################
REGEDIT4

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{63288392-646C-4E1F-8FEE-3270517E88E7}"=-

######################

Puis "fichier"/"enregistrer sous" : 
dans : sur le bureau 
Nom du fichier : fix1.reg 
Type de fichier : "tous les fichiers" 
clique sur "enregistrer.
Ferme le blocnote

Double clique sur fix1.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui

2)Vas dans démarrer/exécuter et tapes regedit puis valide.
Dans le panneau de gauche, navigue jusquà la clé en gras puis clique une fois dessus :

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Dans le panneau de droite, double clique sur Authentication Packages.
Dans le champ "données", tu dois avoir msv1_0 C:\WINDOWS\system32\mljjh.dll 

Supprime tout ce qui est derrière msv1_0 
Ne supprime surtout pas msv1_0
Valide et vérifie dans le panneau de droite que pour la sous clé Authentication Packages est bien inscrit tout à droite msv1_0

C'est très important, si tu as un doute pour la modification de cette clé ou des questions, demande moi. 

Si c'est bon, referme l'éditeur de registre et redémarre ton PC.
Si tu as suivi correctement ces instructions, tu ne devrais avoir aucun problème au redémarrage.

Au cas ou (mais si tu suis les instructions tout se passera bien), voici ce que tu feras si tu n'arrives plus à rentrer dans ta session :

- Redémarre ton PC et tapotes la touche F8
- Au menu, choisis "dernière bonne configuration connue" et valide

afideg · Answer

Re,

ComboFix post#6 donne aussi ==> 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\pmnkhge] 
pmnkhge.dll 

D'où ceci 
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\pmnkhge] 
à ajouter en REGEDIT4

Al.

IL-MAFIOSO · Answer

Yo j'étais tellement resté sur la clé packages que je l'ai oublié celle-là :)

oldp0rt, voici ce que tu dois copier dansle point 1 (sans les ######)

###################### 
REGEDIT4 

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\pmnkhge] 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4E79F4A-B12F-4616-8A1E-4E0220A87D0A}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 
"{63288392-646C-4E1F-8FEE-3270517E88E7}"=- 

######################

oldp0rt · Answer

hey IL-Mafiosos

par point1 tu veut dire cela? mais avec les nouvelles lignes que tu a rajouter.

1)Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est entre les ######, ligne vide comprise (copie tout d'un trait). 
Puis "fichier"/"enregistrer sous" : 
dans : sur le bureau 
Nom du fichier : fix1.reg 
Type de fichier : "tous les fichiers" 
clique sur "enregistrer. 
Ferme le blocnote

IL-MAFIOSO · Answer

Salut, oui tu prends ce qui est entre les # de mon message  du jeudi 25 octobre 2007 à 13h25:48 à la place de l'ancien.

oldp0rt · Answer

Bon alors cela a ete fait.

afideg · Answer

oldp0rt

Il faut revenir en arrière avec HijackThis.

De  C:\Program Files\Trend Micro\HijackThis\scanner.exe.exe , 
il faut renommer en  C:\Program Files\Trend Micro\HijackThis\HijackThis.exe ;
sinon, il perd des fonctionnalités.

Bonne nuit
Al

oldp0rt · Answer

Bon jai remis scanner.exe. a HijackThis.exe et voici le scan

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:57:32, on 2007-10-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Norton AntiVirus
avapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [AsusServiceProvider] C:\Program Files\ASUS\AASP\1.00.05\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

oldp0rt · Answer

Je viens de faire une analyse du système avec Norton Anti-Virus puis il a détecté cela.

iskmewon.exe (trojan Horse)

Il marque, unable to repair file.

Je croyais que nous lavions effacer lui plus tôt.


Merci encore de ton aide pour nettoyer mon ordi

afideg · Answer

Bonjour oldp0rt, et IL-MAFIOSO

oldp0rt, peux-tu tester ceci, SVP ?
Merci

• Créer un nouveau dossier sur ton Bureau (Clic-droit > Nouveau > Dossier - nomme-le "Virut"- )
• Télécharger ces 2 fichiers dans ce dossier "Virut", et pas ailleurs:
http://download.grisoft.cz/filedir/util/avg_rem_sup.dir/rmvirut/
• Exécute rmvirut.exe, et laisse le faire.
Poste le rapport sur un forum d'entraide si tu le peux, sinon tu feras:
• File > Save log > Enregistre le sur le Bureau, pour mieux le retrouver.
• Il se nommera VirusRemover.log


Bonne chance
Al.

afideg · Answer

(suite)

iskmewon.exe avait été effacé avec The Avenger au post # 18.

Supprimer les outils utilisés devenus inutiles, ainsi que les quarantaines éventuelles; comme ceci:

•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" >  dans "Propriétés" > onglet "Restauration du système" - Cocher la case  "Désactiver la restauration du système" et cliquer sur "Appliquer".

•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe > 
•- Lance OTMoveIt.exe par double-clic 
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés). 
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le. 
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt. 
[*]Un message apparaît pour confirmer le nettoyage. Confirme 
Ce programme supprime les outils utilisés (dont The Avenger) ainsi que les quarantaines éventuelles.

•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans  "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".

La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.


Merci
Al.

oldp0rt · Answer

Bon alors j'ai fait le nettoyage (clean up!) 

Au moins je n'ai plus de (pop-ups) quand je navigue sur le net.

merci

afideg · Answer

OK
Passe un bon W-E
Al.

IL-MAFIOSO · Answer

Salut,

Merci afideg pour le relais.

oldp0rt, un petit scan en ligne de contrôle :

Fais un scan en ligne avec Internet Explorer. A la fin du scan, postes le rapport
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr ("Exécutez l'analyse en ligne"). Sélectionne "disque local C:\"

afideg · Answer

IL-MAFIOSO  ;)
C'est toi que je remercie.
Al.

oldp0rt · Answer

Voici le rapport que tu a demander


Saturday, October 27, 2007 5:15:38 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 27/10/2007
Enregistrements dans la base antivirus Kaspersky : 419695
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante standard 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Dossiers 
C:\  
 
Statistiques de l'analyse 
Total d'objets analysés 80392 
Nombre de virus trouvés 0 
Nombre d'objets infectés 0 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 00:49:42 

Nom de l'objet infecté Nom du virus Dernière action 
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\settings.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\2007-10-27_Log.ALUSchedulerSvc.LiveUpdate  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan\Local Settings\Historique\History.IE5\MSHist012007102720071028\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan\Local Settings\Temp\Perflib_Perfdata_968.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Jonathan
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SNDALRT.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SNDCON.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SNDDBG.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SNDFW.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SNDIDS.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SNDSYS.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SPPolicy.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SPStart.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Fichiers communs\Symantec Shared\SPStop.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Norton AntiVirus\AVApp.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Norton AntiVirus\AVError.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Norton AntiVirus\AVVirus.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Sygate\SPF\debug.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Sygate\SPFawlog.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Sygate\SPF\seclog.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Sygate\SPF\syslog.log  L'objet est verrouillé  ignoré  
 
C:\Program Files\Sygate\SPF	ralog.log  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\_restore{7BAAC118-5BFB-4FC3-95BA-93BC87508DEA}\RP1\change.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SC25890F7.tmp  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\drivers\sptd.sys  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\drivers\vaxscsi.sys  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
Analyse terminée.

IL-MAFIOSO · Answer

Salut,

RAS dans le scan, comment va ton PC ?

oldp0rt · Answer

Je n'ai plus de pop-up, mais sur sur internet en haut de la page on a une icône (favoris) la ou on met tous nos sites. Bien dans cette liste il y a toujours un dossier qui se nomme (Links) qui apparaît. J'ai beau l'effacer à tous les jours, mais il revient tout le temps. Et puis adaware puis spybot trouve beaucoup des choses a chaque fois que je les fais marché.

Je le sais que je suis fatigant, mais il doit plus y rester grand-chose
 :)

afideg · Answer

Re,

Ce dossier fait partie du système.
Je ne vois pas l'intérêt de le supprimer (bien au contraire).

Par contre rien n'empêche de le vider périodiquement. ==> ce que je n'ai jamais fait depuis 1 an, et voici ce qu'il contient depuis < http://img337.imageshack.us/img337/148/screenshot118ja9.png >.
Il n' y a pas de quoi ...

Peut-être IL-MAFIOSO a un complément d'information à son sujet ?

Bonne soirée
Al.

oldp0rt · Answer

Oui le (dossier Liens) comme lui que tu a je l'ai puis je n'y touche pas mais lautre dont je te parlais, (Links) n'a rien dedans alors pourquoi rapparais t-il tout le temps?

afideg · Answer

I don't know .
Sorry
Al.

IL-MAFIOSO · Answer

Salut,

Le dossier Links est intimement lié à Internet Explorer. Si tu le supprimes au prochain redémarrage de ton PC et lorsque tu lanceras Internet Explorer, il ser à nouveau là. En gros, c'est un dossier par défaut de IE.

Cocnernant ce que trouve Spybot ou Ad-aware, si tu parles de cookies ou MRU, c'est normal lorsqu'on navigue sur Internet.
Après une bonne journée de naviguation, il est bon de supprimer tous les cookies et fichiers temporaires.

oldp0rt · Answer

Salut Il-Mafioso,

Alors la mon ordi serrais propres de tous virus et trojans.


merci

IL-MAFIOSO · Answer

Pour moi au vu du dernier scan c'est Ok.

Supprime tout ce que l'on a utilisé. Regarde avant dans ajout/supp des programmes puis supprime le reste manuellement.
Ensuite remonte à ton tout premier message et change le statut de ton topic en "résolu" si tu le peux.

oldp0rt · Answer

merci beaucoup d'avoir pris le temps de regler mes problemes.

Jonathan

IL-MAFIOSO · Answer

Pas de quoi. content de t'avoir rendu service.

@ ++

Win32.worm.irc.tedeto.a

57 réponses

Discussions similaires

Newsletters