La guerre aux virus

Question

Bonjour,

Voilà j'ai un souci avec mon PC portable... j'ai une liste énorme de virus et ils sont virulents.. ils me bloquent tout.

J'ai le SP2 et j'ai dû désinstaller AVAST car la detection était une cata... ça n'arrêtait pas.

Ensuite j'ai installé ANTIVIR mais j'ai dû le désactiver car pareil ça me bloque toutes manips.

Voici une liste des virus :
TR/Drop.Age.11148.A (assez virulent)
TR/Dldr.WinFixer.0.2
TR/Dldr.ConHook.Gen
TR/Vundo.Gen (assez virulent)
TR/Distamit
TR/Crypt.XPACK.Gen
WORM/Rbot.34816
WORM/SdBot.38912.35
..... et j'en passe car j'ai désactivé ANTIVIR, tellement j'en avais marre.

En ce moment, je suis en train de lancer SPYBOT, puis je vais essayer AD-AWARE, XCLEANER, CCLEANER et hijackthis.

Qqn peut-il m'aider ? J'en peux plus !

Patricia

alexmilano · Answer

sinon prend l'antivirus AVG qui est pa mal, tu fais un scan de tous tn PC puis tu supprime tout !!!

voila voila, bonne chance

^^Marie^^ · Answer

Salut

Tu réinstalles ANTIVIR correctement

ANTIVIR
https://www.avira.com/
Tuto
http://speedweb1.free.fr/frames2.php?page=tuto5 


Tu installes un pare-feu

pare-feu gratuits

télécharger la version gratuite de Zone alarm 
https://www.pcastuces.com/logitheque/zonealarm.htm
TUTO
http://securite-facile.ovh.org/zonealarm.php
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/zonealarm-tutorial-sujet_169658_1.htm
désactivé les parties filtrage web et antivirus de ZA ! C'est important

ou

télécharger la version gratuite de Kerio 
Kerio (parefeu) 
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html 
TUTO
https://kerio.probb.fr/t250-tuto-sunbelt-personal-firewall-4-6  
SITE de Kerio
https://kerio.probb.fr/

Ensuite

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php 
et télécharge SmitfraudFix.exe.
Regarde le tuto
Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.

Bon courage


A++

Patricia · Answer

Merci à vous 2 de répondre hyper vite... j'en demandais pas tant !!!

Sinon je fais un scan avec AVG avant ou c'est pour plus tard ?

alexmilano · Answer

Pour AVG tu le fais quand tu veux, moi perso, j'ai juste AVG avec les pare feux windows ... et puis je fais un scan automatique de mon PC a chaque démarrage, et jamais de virus !!! :)

Patricia · Answer

Du coup, maintenant, j'ai un autre soucy... c'est vraiment la cata.

J'ai rebooté mon PC après le SPYBOT et maintenant quand je redémarre je reste bloquée sur le bureau... les icones ne s'affiche pas.. comme un plantage.

Pour info, j'écris depuis mon PC fixe.

Patricia · Answer

Ouf ! J'ai réussi !

Voici enfin le rapport :

SmitFraudFix v2.240

Rapport fait à  0:23:43,00, 20/10/2007
Executé à partir de C:\Documents and Settings\Ali BAZIZ\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ali BAZIZ


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ali BAZIZ\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ALIBAZ~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="c:\windows\system32\urqqnkk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Contrôleur Fast Ethernet intégré 3Com 3C920 (compatible 3C905C-TX) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4D348149-204F-459A-A8CA-BDBD6E6CA54A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4D348149-204F-459A-A8CA-BDBD6E6CA54A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4D348149-204F-459A-A8CA-BDBD6E6CA54A}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

^^Marie^^ · Answer

OK

F -  Hijackthis - Outil de diagnostic et réparation 
télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 
Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/demohijack.htm 
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html 

Bon courage 

A+

Patricia · Answer

Coucou Marie !

Voici le rapport de Hijackthis !
Franchement c'est trop cool de ta part !!! T'es génial comme fille !!!
T'es informaticienne (geek ?!!!!) ?

A plus !
Patricia

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:06:51, on 20/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {5253312d-2a3e-4100-bdc6-d011ac71b929} - C:\WINDOWS\system32\eulpol.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {80833312-EAE7-4B01-BBA4-94E945308A17} - C:\WINDOWS\System32\fcyab.dll (file missing)
O2 - BHO: (no name) - {89AD4D75-2429-462e-BD4E-443F233F6033} - C:\WINDOWS\system32\kwrjmlev.dll (file missing)
O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - C:\WINDOWS\System32\awtqnkh.dll (file missing)
O2 - BHO: (no name) - {CE715734-AB8E-4F09-8651-CB6153BA925C} - C:\WINDOWS\system32\oppqp.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\kqqlutyh.dll",sitypnow
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: c:\windows\system32\urqqnkk.dll
O20 - Winlogon Notify: awtqnkh - awtqnkh.dll (file missing)
O20 - Winlogon Notify: eulpol - eulpol.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: DomainService - Unknown owner - C:\Documents and Settings\Ali BAZIZ\Application Data	mp1.tmp.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

^^Marie^^ · Answer

Tu as 2 anti-virus ??
Faut en supprimer un, sources de conflits



Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

* Double-clique VundoFix.exe afin de le lancer. 
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo 
* Clique sur le bouton Scan for Vundo. 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK 
* Démarre ton PC à nouveau. 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt 

ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Patricia · Answer

Voici la suite !

Rapport Vundo Fix :
VundoFix V6.5.10

Checking Java version...

Scan started at 23:29:59 19/10/2007

Listing files found while scanning....

C:\WINDOWS\System32	mp5.tmp.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\System32	mp5.tmp.dll
C:\WINDOWS\System32	mp5.tmp.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Scan started at 14:18:24 20/10/2007

Listing files found while scanning....

C:\WINDOWS\system32\hytulqqk.ini
C:\WINDOWS\system32\kqqlutyh.dll
C:\WINDOWS\system32\kwrjmlev.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\hytulqqk.ini
C:\WINDOWS\system32\hytulqqk.ini Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.10

Checking Java version...

Scan started at 14:45:03 20/10/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.5.10

Checking Java version...

Scan started at 15:01:07 20/10/2007

Listing files found while scanning....

No infected files were found.


Rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:13:47, on 20/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {5253312d-2a3e-4100-bdc6-d011ac71b929} - C:\WINDOWS\system32\eulpol.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {80833312-EAE7-4B01-BBA4-94E945308A17} - C:\WINDOWS\System32\fcyab.dll (file missing)
O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - C:\WINDOWS\System32\awtqnkh.dll (file missing)
O2 - BHO: (no name) - {CE715734-AB8E-4F09-8651-CB6153BA925C} - C:\WINDOWS\system32\oppqp.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: c:\windows\system32\urqqnkk.dll
O20 - Winlogon Notify: awtqnkh - awtqnkh.dll (file missing)
O20 - Winlogon Notify: eulpol - eulpol.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - Unknown owner - C:\Documents and Settings\Ali BAZIZ\Application Data	mp1.tmp.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

^^Marie^^ · Answer

Salut

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

et reposte un nouveau rapport hijackthis stp 

A++

Patricia · Answer

Coucou Marie !

Voici la re-suite...

Passes une bonne semaine !

RAPPORT ComboFix :

ComboFix 07-10-20.6 - Ali BAZIZ 2007-10-22 22:08:53.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.246 [GMT 2:00]
Running from: C:\Documents and Settings\Ali BAZIZ\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\Documents and Settings\Ali BAZIZ\Application Data\tmp3.tmp.exe
C:\Documents and Settings\Ali BAZIZ\Application Data\tmp3.tmp.exe
C:\Documents and Settings\Ali BAZIZ\Application Data\tmp5.tmp.exe
C:\Documents and Settings\Ali BAZIZ\Application Data\tmp5.tmp.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\Downloaded Program Files\UWAS6V_0001_N91M2606NetInstaller.exe
C:\WINDOWS\Downloaded Program Files\UWAS6V_0001_N91M2606NetInstaller.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService

((((((((((((((((((((((((((((( Fichiers créés 2007-09-22 to 2007-10-22 ))))))))))))))))))))))))))))))))))))
.

2007-10-21 23:05 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-21 22:02 <REP> d---s---- C:\Documents and Settings\Ali BAZIZ\UserData
2007-10-20 14:17 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avg7
2007-10-20 13:33 <REP> d--h----- C:\Documents and Settings\Administrateur.ALI\Voisinage r‚seau
2007-10-20 13:33 <REP> d--h----- C:\Documents and Settings\Administrateur.ALI\Voisinage d'impression
2007-10-20 13:33 <REP> d--h----- C:\Documents and Settings\Administrateur.ALI\ModŠles
2007-10-20 13:33 <REP> d-------- C:\Documents and Settings\Administrateur.ALI\Mes documents
2007-10-20 13:33 <REP> dr------- C:\Documents and Settings\Administrateur.ALI\Menu D‚marrer
2007-10-20 13:33 <REP> d-------- C:\Documents and Settings\Administrateur.ALI\Favoris
2007-10-20 13:33 <REP> d-------- C:\Documents and Settings\Administrateur.ALI\Bureau
2007-10-20 12:51 512 --a------ C:\ScanSectorLog.dat
2007-10-20 01:02 <REP> d-------- C:\Program Files\Everest Poker
2007-10-20 00:24 714 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-20 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-20 00:22 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-20 00:22 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-20 00:22 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-20 00:22 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-20 00:18 <REP> d-------- C:\Documents and Settings\Ali BAZIZ\Application Data\MailFrontier
2007-10-20 00:12 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\MailFrontier
2007-10-20 00:09 <REP> d-------- C:\WINDOWS\Internet Logs
2007-10-19 23:58 443,501 ---hs---- C:\WINDOWS\system32\pqppo.ini2
2007-10-19 23:58 440,923 ---hs---- C:\WINDOWS\system32\pqppo.bak2
2007-10-19 23:49 85,108 --a------ C:\WINDOWS\tuvttq.dll
2007-10-19 23:40 6,513 ---hs---- C:\WINDOWS\system32\pqppo.bak1
2007-10-19 23:29 <REP> d-------- C:\VundoFix Backups
2007-10-19 11:06 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2007-10-19 10:53 <REP> d-------- C:\Documents and Settings\LocalService.AUTORITE NT\Menu D‚marrer
2007-10-19 10:26 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-19 09:48 1,635 --a------ C:\WINDOWS\system32\ipskxmmj.exe
2007-10-19 09:29 <REP> d-------- C:\Program Files\Avira
2007-10-19 09:29 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2007-10-19 09:25 1,635 --a------ C:\WINDOWS\system32\wxwisedp.exe
2007-10-19 09:15 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2007-10-19 09:15 175,104 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpadm.dll
2007-10-19 09:11 73,728 --a--c--- C:\WINDOWS\system32\dllcache\icwtutor.exe
2007-10-19 09:11 65,536 --a--c--- C:\WINDOWS\system32\dllcache\icwres.dll
2007-10-19 09:11 40,960 --a--c--- C:\WINDOWS\system32\dllcache\trialoc.dll
2007-10-19 09:09 1,081,112 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-10-19 09:09 1,081,112 --a--c--- C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-10-19 09:09 115,480 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-10-19 09:09 115,480 --a--c--- C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-10-19 08:59 66,591 --a------ C:\WINDOWS\system32\drivers\el90xbc5.sys
2007-10-19 08:55 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-10-19 08:55 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2007-10-19 08:55 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2007-10-19 08:55 13,312 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2007-10-18 13:15 560,350 ---hs---- C:\WINDOWS\system32\baycf.bak2
2007-10-18 12:43 1,635 --a------ C:\WINDOWS\system32\updpz.exe
2007-10-18 12:39 <REP> d-------- C:\Program Files\Yahoo!
2007-10-18 12:38 <REP> d-------- C:\Program Files\CCleaner
2007-10-18 12:18 1,635 --a------ C:\WINDOWS\system32\mqzdkrm.exe
2007-10-18 11:17 <REP> d-------- C:\Program Files\Alwil Software
2007-10-18 11:17 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-10-18 11:17 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2007-10-18 11:17 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2007-10-18 11:11 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-10-18 11:11 52,864 --a------ C:\WINDOWS\system32\drivers\dmusic.sys
2007-10-18 11:11 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-10-18 11:11 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-10-18 11:10 4,274,816 --a------ C:\WINDOWS\system32\nv4_disp.dll
2007-10-18 11:10 1,897,408 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-10-18 11:10 96,256 --a------ C:\WINDOWS\system32\drivers\ac97intc.sys
2007-10-18 11:10 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2007-10-18 11:07 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage r‚seau
2007-10-18 11:07 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage d'impression
2007-10-18 11:07 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\ModŠles
2007-10-18 11:07 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Mes documents
2007-10-18 11:07 <REP> dr------- C:\Documents and Settings\Default User.WINDOWS\Menu D‚marrer
2007-10-18 11:07 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Favoris
2007-10-18 11:07 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Bureau
2007-10-18 11:07 <REP> d--h----- C:\Documents and Settings\All Users.WINDOWS\ModŠles
2007-10-18 11:07 <REP> dr------- C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer
2007-10-18 11:07 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Favoris
2007-10-18 11:07 <REP> dr------- C:\Documents and Settings\All Users.WINDOWS\Documents
2007-10-18 11:07 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Bureau
2007-10-18 10:54 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-10-18 10:54 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-10-18 10:54 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-10-18 10:54 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-10-18 10:54 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-10-18 10:54 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-10-18 10:47 1,635 --a------ C:\WINDOWS\system32\eckvmfhq.exe
2007-10-18 10:45 <REP> d--h----- C:\Documents and Settings\Ali BAZIZ\Voisinage r‚seau
2007-10-18 10:45 <REP> d--h----- C:\Documents and Settings\Ali BAZIZ\Voisinage d'impression
2007-10-18 10:45 <REP> d--h----- C:\Documents and Settings\Ali BAZIZ\ModŠles
2007-10-18 10:45 <REP> dr------- C:\Documents and Settings\Ali BAZIZ\Mes documents
2007-10-18 10:45 <REP> dr------- C:\Documents and Settings\Ali BAZIZ\Menu D‚marrer
2007-10-18 10:45 <REP> dr------- C:\Documents and Settings\Ali BAZIZ\Favoris
2007-10-18 10:45 <REP> d-------- C:\Documents and Settings\Ali BAZIZ\Bureau
2007-10-18 10:39 1,635 --a------ C:\WINDOWS\system32\pubz.exe
2007-10-18 10:32 <REP> d--hs---- C:\Documents and Settings\All Users.WINDOWS\DRM

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-20 11:06 401,720 ----a-w C:\HijackThis.exe
2007-10-19 23:03 557,344 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-19 22:15 1,412 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-19 22:11 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-10-19 22:11 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-10-17 18:43 --------- d-----w C:\Program Files\Java
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5253312d-2a3e-4100-bdc6-d011ac71b929}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{80833312-EAE7-4B01-BBA4-94E945308A17}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE715734-AB8E-4F09-8651-CB6153BA925C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-20 00:20]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh]
awtqnkh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\eulpol]
eulpol.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\windows\system32\urqqnkk.dll

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-22 22:19:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-22 22:21:51 - machine was rebooted
.
--- E O F ---

RAPPORT HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:14:05, on 22/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {5253312d-2a3e-4100-bdc6-d011ac71b929} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {80833312-EAE7-4B01-BBA4-94E945308A17} - (no file)
O2 - BHO: (no name) - {CE715734-AB8E-4F09-8651-CB6153BA925C} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O20 - AppInit_DLLs: c:\windows\system32\urqqnkk.dll
O20 - Winlogon Notify: awtqnkh - awtqnkh.dll (file missing)
O20 - Winlogon Notify: eulpol - eulpol.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

^^Marie^^ · Answer

Re coucou

Une ligne me contrariait

Rend toi sur ce site : 
http://www.virustotal.com/xhtml/virustotal_en.html 
Clik sur parcourir 
Recherche ceci : 
c:\windows\system32\urqqnkk.dll 
Clik send et colle le rapport stp


3/ Lance HijackThis 
puis --> Do a system scan only 
coche les lignes indiquées ci-dessous 
puis --> Fix checked 
puis oui à la question de confirmation

O2 - BHO: (no name) - {5253312d-2a3e-4100-bdc6-d011ac71b929} - (no file)
O2 - BHO: (no name) - {80833312-EAE7-4B01-BBA4-94E945308A17} - (no file)
O2 - BHO: (no name) - {CE715734-AB8E-4F09-8651-CB6153BA925C} - (no file)
O20 - Winlogon Notify: awtqnkh - awtqnkh.dll (file missing)
O20 - Winlogon Notify: eulpol - eulpol.dll (file missing)

Patricia · Answer

Salut !

Alors pour le fichier "c:\windows\system32\urqqnkk.dll"... c'est étrange car il ne se trouve pas à l'emplacement indiqué (même en cochant sur "Afficher les fichiers et dossiers cachés". Je ne sais vraiment pas où il peut être...
J'ai fait une recherche avec Démarrer/Rechercher mais rien.

Pour ce qui est de lancer HijackThis, ça c'est fait.

Je te colle quand même à la suite le rapport de ce dernier.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:57:24, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O20 - AppInit_DLLs: c:\windows\system32\urqqnkk.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

^^Marie^^ · Answer

Salut Patricia

Où en sont tes soucis ?

Je me renseigne pour cette ligne qui me turlupine
O20 - AppInit_DLLs: c:\windows\system32\urqqnkk.dll

Patricia · Answer

ça va nettement mieux !!!

J'ai plus d'alerte de virus...

J'ai eu un souci hier soir... ma souris ne fonctionnait plus... je me suis dit : ça y est, c'est un virus qui fait encore des siennes...

Mais non, ma souris était bien ko !!! MDR !!!! Le coup de speed, que je me suis faite toute seule !!!!!

En tout cas merci pour ton aide ! Je pense qu'on voit le bout !!!

Bonne journée !
Patricia

La guerre aux virus

16 réponses

Votre réponse

Discussions similaires

Newsletters