Infection par Virtumonde

Question

Bonjour,

Je suis infectée depuis plus d'un mois par Virtumonde. J'avais comme anti virus AVG. Je l'ai remplacé par Avast qui repère biens le virus et qui fait mine de le supprimer, sans résultat. J'ai également Spyware qui limite la casse en supprimant petit à petit les dégats mais sans éradiquer virtumonde.

Que faire ?

Merci de m'aider.(je suis pas super pro en informatique...)

Charlotte

nardino · Answer

Bonjour.

Télécharge VirtumondoBegone : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Redémarre en mode sans échec et lance VirtumundoBeGone.exe

Télécharge Combofix de sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    - Ferme toutes les fenêtres
    - Double-clique sur combofix.exe (ne clique pas sur la fenêtre qui s'ouvre)
    - Appuie sur Y pour lancer le scan
    - A la fin du scan (cela peut prendre du temps), un rapport sera créé.
    - Poste ce rapport dans ton prochain message.

Charlotte* · Answer

Merci ! 

Je télécharge tout ça et t'envoie le rapport ! 

Dois je désactiver avast ou spyware ? et comment ?

à tout de suite !

nardino · Answer

Bonjour.

Tu peux désactiver Teta-Timer de Spybot si tu l'utilises et l'antivirus le temps de faire les scans.

Charlotte* · Answer

Message de Charlotte rapporte car ordi plante!!

"salut j'ai bien telecharge les logiciels, allume le pc en mode sans echec pour l'analyse virtumonde, apres quoi le rapport me dit n'avoir rien touve. J'ai enregistre le rapport et eteint l'ordi. Au rallumage, fenetre ISASS.exe "l'operation demandee n'a pas pu etre menee a bien".
Depuis rallumage impossible. Y a t il une solution?"

nardino · Answer

Bonjour.
Quand tu fais F8 choisis Démarrer avec la dernière bonne configuration connue.

Charlotte* · Answer

youhou !!! merci !

J'ai eu vraiment peur... mais me voila rassurée !!!

Je m'aprête à faire le scan avec combofix. (quelques petites sauvegardes avant quand même...)

A plus !

Charlotte* · Answer

ça y est... j'ai fait le scan.

Pour info, es tu dispo ce soir pour continuer? ou veux tu qu'on continue demain (je peux perso être dispo toute la journée et aussi le soir si nécessaire) ou un autre jour ?

Merci en tout cas...

Voici le rapport :

"ComboFix 07-10-26.4 - lot 2007-10-28 21:24:51.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.243 [GMT 1:00]
Running from: C:\Documents and Settings\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\__c0032AAA.dat
C:\WINDOWS\system32\__c006335A.dat
C:\WINDOWS\system32\__c00D0294.dat
C:\WINDOWS\system32\__c00F9700.dat
C:\WINDOWS\system32\aeyarjco.dll
C:\WINDOWS\system32\drivers\fad.sys
C:\WINDOWS\SYSTEM32\kjkmp.bak1
C:\WINDOWS\SYSTEM32\kjkmp.bak2
C:\WINDOWS\SYSTEM32\kjkmp.ini
C:\WINDOWS\system32\mbenpvnr.dll
C:\WINDOWS\system32\nosoaanp.dll
C:\WINDOWS\SYSTEM32\ocmftnkr.ini
C:\WINDOWS\system32\pmkjk.dll
C:\WINDOWS\system32\rkntfmco.dll
C:\WINDOWS\SYSTEM32\rnvpnebm.ini
C:\WINDOWS\system32\winspool.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE

((((((((((((((((((((((((((((( Fichiers créés 2007-09-28 to 2007-10-28 ))))))))))))))))))))))))))))))))))))
.

2007-10-28 12:39 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-28 12:15 10,816 --a------ C:\WINDOWS\SYSTEM32\vekwwbrq.dll
2007-10-27 11:19 10,816 --a------ C:\WINDOWS\SYSTEM32\ennellex.dll
2007-10-27 11:16 10,816 --a------ C:\WINDOWS\SYSTEM32\dktwxbhf.dll
2007-10-27 11:11 10,816 --a------ C:\WINDOWS\SYSTEM32\blhrhwqk.dll
2007-10-25 21:51 10,816 --a------ C:\WINDOWS\SYSTEM32\iomckqib.dll
2007-10-12 16:52 843,776 --a------ C:\WINDOWS\SYSTEM32\cielcalc.dll
2007-10-12 16:52 757,760 --a------ C:\WINDOWS\SYSTEM32\cielcalc.exe
2007-10-12 16:52 172,032 --a------ C:\WINDOWS\SYSTEM32\Portal.dll
2007-10-12 16:52 69,632 --a------ C:\WINDOWS\SYSTEM32\coface.dll
2007-10-12 16:25 <REP> d-------- C:\Program Files\CIEL
2007-10-12 16:17 110,592 --a------ C:\WINDOWS\SYSTEM32\xxxprogress.dll
2007-10-12 16:17 49,424 --a------ C:\WINDOWS\SYSTEM32\clspack.exe
2007-10-12 16:16 <REP> d-------- C:\WINDOWS\SYSTEM32\AMYUNIPDF
2007-10-12 16:13 212,992 --a------ C:\WINDOWS\SYSTEM32\crun500.dll
2007-10-12 16:13 148 --a------ C:\WINDOWS\SYSTEM32\CRUNX.BIN
2007-10-12 16:11 <REP> d-------- C:\CIEL
2007-10-06 14:54 <REP> d-------- C:\Program Files\Alwil Software
2007-10-06 14:54 801,144 --a------ C:\WINDOWS\SYSTEM32\aswBoot.exe
2007-10-06 14:54 95,608 --a------ C:\WINDOWS\SYSTEM32\AvastSS.scr
2007-10-06 14:54 94,416 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aswmon2.sys
2007-10-06 14:54 92,848 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aswmon.sys
2007-10-06 14:54 42,912 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aswTdi.sys
2007-10-06 14:54 26,624 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aavmker4.sys
2007-10-06 14:54 23,152 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\aswRdr.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-28 20:22 --------- d-----w C:\Program Files\Wanadoo
2007-10-12 15:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-06 13:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\AVG7
2007-10-03 18:08 --------- d-----w C:\Documents and Settings\lot\Application Data\AVG7
2007-09-30 18:26 --------- d-----w C:\Program Files\FinePixViewer
2007-09-22 13:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2006-11-20 21:04 1,025,896 ----a-w C:\Program Files\spamfighter_web.exe
2006-04-24 18:15:25 11,270 --sha-w C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-01-08 15:26]
"nwiz"="nwiz.exe" [2004-01-08 15:26 C:\WINDOWS\SYSTEM32\nwiz.exe]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 05:59 C:\WINDOWS\BCMSMMSG.exe]
"Apoint"="C:\Program Files\Apoint\Apoint.exe" [2004-02-02 15:32]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48]
"bacstray"="BacsTray.exe" [2003-05-14 18:37 C:\WINDOWS\SYSTEM32\BacsTray.exe]
"PRONoMgr.exe"="C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-05-28 17:32]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-03-15 01:04]
"UpdateManager"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01]
"PCMService"="C:\Program Files\Dell\Media Experience\PCMService.exe" [2004-04-11 20:15]
"DVDLauncher"="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-11 11:43]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-09-27 16:29]
"VirusScan"="c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" []
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-10-13 16:12]
"PC-CAM 300 STI App Registration"="Pd016pin.dll" [2002-06-06 02:10 C:\WINDOWS\SYSTEM32\PD016Pin.dll]
"EPSON Stylus C66 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.exe" [2003-11-26 19:00]
"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 21:32]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2004-10-13 16:12]
"adiras"="adiras.exe" []
"EoEngine"="" []
"EoWeather"="" []
"SPAMfighter Agent"="C:\Program Files\SPAMfighter\SFAgent.exe" [2007-04-26 08:57]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-02 13:37]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 07:00]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\ypager.exe" []
"Sonic RecordNow!"="" []
"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-13 16:12]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-27 21:59]

C:\Documents and Settings\lot\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-09 14:00:28]
La Solution Enseignement Ciel.lnk - C:\CIEL\STARTER.EXE [2007-10-12 16:11:19]
Outil de détection de support Picture Motion Browser.lnk - C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-07-12 13:03:59]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2006-11-25 18:29:16]
EPSON Status Monitor 3 Environment Check(2).lnk - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE [2006-10-12 10:24:17]
Exif Launcher.lnk - C:\Program Files\FinePixViewer\QuickDCF.exe [2005-06-19 10:26:11]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\System32\LgNotify.dll 2004-01-12 06:55 110592 C:\WINDOWS\SYSTEM32\LgNotify.dll

S3 PD016BLK;Creative PC-CAM 300 (Still Image);C:\WINDOWS\System32\DRIVERS\PD016blk.sys
S3 PD016VID;Creative PC-CAM 300 (Video);C:\WINDOWS\System32\DRIVERS\PD016vid.sys

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2004-10-01 10:30:10 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-28 21:35:40
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-28 21:36:41 - machine was rebooted
.
--- E O F ---
"

nardino · Answer

Bonsoir,
J'aimerai que tu fasses analyser ces fichiers sur ce site : 
https://www.virustotal.com/gui/
= VirusTotal 

<ital>C:\WINDOWS\SYSTEM32\vekwwbrq.dll
C:\WINDOWS\SYSTEM32\ennellex.dll
C:\WINDOWS\SYSTEM32\dktwxbhf.dll
C:\WINDOWS\SYSTEM32\blhrhwqk.dll
C:\WINDOWS\SYSTEM32\iomckqib.dll 
C:\WINDOWS\SYSTEM32\xxxprogress.dll 


Enregistre et poste les résultats.

@plus
nardino

Charlotte* · Answer

Bonsoir,

Alors voici le résultat pour C:\WINDOWS\SYSTEM32\vekwwbrq.dll

Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2007.10.27.0	2007.10.26	-
AntiVir	7.6.0.30	2007.10.28	HEUR/Malware
Authentium	4.93.8	2007.10.28	-
Avast	4.7.1074.0	2007.10.28	-
AVG	7.5.0.503	2007.10.28	-
BitDefender	7.2	2007.10.28	-
CAT-QuickHeal	9.00	2007.10.26	-
ClamAV	0.91.2	2007.10.28	-
DrWeb	4.44.0.09170	2007.10.28	-
eSafe	7.0.15.0	2007.10.28	-
eTrust-Vet	31.2.5244	2007.10.26	-
Ewido	4.0	2007.10.28	-
FileAdvisor	1	2007.10.29	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.29	-
F-Secure	6.70.13030.0	2007.10.28	-
Ikarus	T3.1.1.12	2007.10.28	-
Kaspersky	7.0.0.125	2007.10.29	-
McAfee	5150	2007.10.26	-
Microsoft	1.2908	2007.10.29	-
NOD32v2	2622	2007.10.28	-
Norman	5.80.02	2007.10.26	-
Panda	9.0.0.4	2007.10.28	Suspicious file
Prevx1	V2	2007.10.29	Heuristic: Suspicious File With Code Injection Technology
Rising	19.46.61.00	2007.10.28	-
Sophos	4.23.0	2007.10.28	Mal/Behav-010
Sunbelt	2.2.907.0	2007.10.27	-
Symantec	10	2007.10.28	-
TheHacker	6.2.9.110	2007.10.27	-
VBA32	3.12.2.4	2007.10.28	-
VirusBuster	4.3.26:9	2007.10.28	-
Webwasher-Gateway	6.6.1	2007.10.28	Heuristic.Malware
Information additionnelle
File size: 10816 bytes
MD5: 2aa75db771798ae58d8a553346be6b9b
SHA1: 4bdd7c5770902da5d352a5595741d4d82f3bb58c
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BD036893407CBFFB2A53000BB10CCB004CDD3934

Charlotte* · Answer

Pour C:\WINDOWS\SYSTEM32\ennellex.dll

Résultat: 4/31 (12.91%)
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2007.10.27.0	2007.10.26	-
AntiVir	7.6.0.30	2007.10.28	HEUR/Malware
Authentium	4.93.8	2007.10.28	-
Avast	4.7.1074.0	2007.10.28	-
AVG	7.5.0.503	2007.10.28	-
BitDefender	7.2	2007.10.28	-
CAT-QuickHeal	9.00	2007.10.26	-
ClamAV	0.91.2	2007.10.28	-
DrWeb	4.44.0.09170	2007.10.28	-
eSafe	7.0.15.0	2007.10.28	-
eTrust-Vet	31.2.5244	2007.10.26	-
Ewido	4.0	2007.10.28	-
FileAdvisor	1	2007.10.29	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.29	-
F-Secure	6.70.13030.0	2007.10.28	-
Ikarus	T3.1.1.12	2007.10.28	-
Kaspersky	7.0.0.125	2007.10.29	-
McAfee	5150	2007.10.26	-
Microsoft	1.2908	2007.10.29	-
NOD32v2	2622	2007.10.28	-
Norman	5.80.02	2007.10.26	-
Panda	9.0.0.4	2007.10.28	Suspicious file
Prevx1	V2	2007.10.29	Heuristic: Suspicious File With Code Injection Technology
Rising	19.46.61.00	2007.10.28	-
Sophos	4.23.0	2007.10.28	Mal/Behav-010
Sunbelt	2.2.907.0	2007.10.27	-
Symantec	10	2007.10.29	-
TheHacker	6.2.9.110	2007.10.27	-
VBA32	3.12.2.4	2007.10.28	-
VirusBuster	4.3.26:9	2007.10.28	-
Information additionnelle
File size: 10816 bytes
MD5: 2aa75db771798ae58d8a553346be6b9b
SHA1: 4bdd7c5770902da5d352a5595741d4d82f3bb58c
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BD036893407CBFFB2A53000BB10CCB004CDD3934

Charlotte* · Answer

Pour : C:\WINDOWS\SYSTEM32\dktwxbhf.dll

Résultat: 5/32 (15.63%)
	
	
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2007.10.27.0	2007.10.26	-
AntiVir	7.6.0.30	2007.10.28	HEUR/Malware
Authentium	4.93.8	2007.10.28	-
Avast	4.7.1074.0	2007.10.28	-
AVG	7.5.0.503	2007.10.28	-
BitDefender	7.2	2007.10.28	-
CAT-QuickHeal	9.00	2007.10.26	-
ClamAV	0.91.2	2007.10.28	-
DrWeb	4.44.0.09170	2007.10.28	-
eSafe	7.0.15.0	2007.10.28	-
eTrust-Vet	31.2.5244	2007.10.26	-
Ewido	4.0	2007.10.28	-
FileAdvisor	1	2007.10.29	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.29	-
F-Secure	6.70.13030.0	2007.10.28	-
Ikarus	T3.1.1.12	2007.10.28	-
Kaspersky	7.0.0.125	2007.10.29	-
McAfee	5150	2007.10.26	-
Microsoft	1.2908	2007.10.29	-
NOD32v2	2622	2007.10.28	-
Norman	5.80.02	2007.10.26	-
Panda	9.0.0.4	2007.10.28	Suspicious file
Prevx1	V2	2007.10.29	Heuristic: Suspicious File With Code Injection Technology
Rising	19.46.61.00	2007.10.28	-
Sophos	4.23.0	2007.10.28	Mal/Behav-010
Sunbelt	2.2.907.0	2007.10.27	-
Symantec	10	2007.10.29	-
TheHacker	6.2.9.110	2007.10.27	-
VBA32	3.12.2.4	2007.10.28	-
VirusBuster	4.3.26:9	2007.10.28	-
Webwasher-Gateway	6.6.1	2007.10.28	Heuristic.Malware
Information additionnelle
File size: 10816 bytes
MD5: 2aa75db771798ae58d8a553346be6b9b
SHA1: 4bdd7c5770902da5d352a5595741d4d82f3bb58c
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BD036893407CBFFB2A53000BB10CCB004CDD3934

Charlotte* · Answer

Pour C:\WINDOWS\SYSTEM32\blhrhwqk.dll

Résultat: 5/32 (15.63%)


Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2007.10.27.0	2007.10.26	-
AntiVir	7.6.0.30	2007.10.28	HEUR/Malware
Authentium	4.93.8	2007.10.28	-
Avast	4.7.1074.0	2007.10.28	-
AVG	7.5.0.503	2007.10.28	-
BitDefender	7.2	2007.10.28	-
CAT-QuickHeal	9.00	2007.10.26	-
ClamAV	0.91.2	2007.10.28	-
DrWeb	4.44.0.09170	2007.10.28	-
eSafe	7.0.15.0	2007.10.28	-
eTrust-Vet	31.2.5244	2007.10.26	-
Ewido	4.0	2007.10.28	-
FileAdvisor	1	2007.10.29	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.29	-
F-Secure	6.70.13030.0	2007.10.28	-
Ikarus	T3.1.1.12	2007.10.28	-
Kaspersky	7.0.0.125	2007.10.29	-
McAfee	5150	2007.10.26	-
Microsoft	1.2908	2007.10.29	-
NOD32v2	2622	2007.10.28	-
Norman	5.80.02	2007.10.26	-
Panda	9.0.0.4	2007.10.28	Suspicious file
Prevx1	V2	2007.10.29	Heuristic: Suspicious File With Code Injection Technology
Rising	19.46.61.00	2007.10.28	-
Sophos	4.23.0	2007.10.28	Mal/Behav-010
Sunbelt	2.2.907.0	2007.10.27	-
Symantec	10	2007.10.29	-
TheHacker	6.2.9.110	2007.10.27	-
VBA32	3.12.2.4	2007.10.28	-
VirusBuster	4.3.26:9	2007.10.28	-
Webwasher-Gateway	6.6.1	2007.10.28	Heuristic.Malware
Information additionnelle
File size: 10816 bytes
MD5: 2aa75db771798ae58d8a553346be6b9b
SHA1: 4bdd7c5770902da5d352a5595741d4d82f3bb58c
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BD036893407CBFFB2A53000BB10CCB004CDD3934

Charlotte* · Answer

Pour l'avant dernier : C:\WINDOWS\SYSTEM32\iomckqib.dll 
Résultat: 5/32 (15.63%)

Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2007.10.27.0	2007.10.29	-
AntiVir	7.6.0.30	2007.10.28	HEUR/Malware
Authentium	4.93.8	2007.10.28	-
Avast	4.7.1074.0	2007.10.28	-
AVG	7.5.0.503	2007.10.28	-
BitDefender	7.2	2007.10.28	-
CAT-QuickHeal	9.00	2007.10.26	-
ClamAV	0.91.2	2007.10.28	-
DrWeb	4.44.0.09170	2007.10.28	-
eSafe	7.0.15.0	2007.10.28	-
eTrust-Vet	31.2.5244	2007.10.26	-
Ewido	4.0	2007.10.28	-
FileAdvisor	1	2007.10.29	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.29	-
F-Secure	6.70.13030.0	2007.10.28	-
Ikarus	T3.1.1.12	2007.10.28	-
Kaspersky	7.0.0.125	2007.10.29	-
McAfee	5150	2007.10.26	-
Microsoft	1.2908	2007.10.29	-
NOD32v2	2622	2007.10.28	-
Norman	5.80.02	2007.10.26	-
Panda	9.0.0.4	2007.10.28	Suspicious file
Prevx1	V2	2007.10.29	Heuristic: Suspicious File With Code Injection Technology
Rising	19.46.61.00	2007.10.28	-
Sophos	4.23.0	2007.10.28	Mal/Behav-010
Sunbelt	2.2.907.0	2007.10.27	-
Symantec	10	2007.10.29	-
TheHacker	6.2.9.110	2007.10.27	-
VBA32	3.12.2.4	2007.10.28	-
VirusBuster	4.3.26:9	2007.10.28	-
Webwasher-Gateway	6.6.1	2007.10.28	Heuristic.Malware
Information additionnelle
File size: 10816 bytes
MD5: 2aa75db771798ae58d8a553346be6b9b
SHA1: 4bdd7c5770902da5d352a5595741d4d82f3bb58c
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BD036893407CBFFB2A53000BB10CCB004CDD3934

Charlotte* · Answer

Et voila la dernier ! 

A demain (j'espère ;)

C:\WINDOWS\SYSTEM32\xxxprogress.dll
Résultat: 0/32 (0%)

Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2007.10.27.0	2007.10.29	-
AntiVir	7.6.0.30	2007.10.28	-
Authentium	4.93.8	2007.10.28	-
Avast	4.7.1074.0	2007.10.28	-
AVG	7.5.0.503	2007.10.28	-
BitDefender	7.2	2007.10.28	-
CAT-QuickHeal	9.00	2007.10.26	-
ClamAV	0.91.2	2007.10.28	-
DrWeb	4.44.0.09170	2007.10.28	-
eSafe	7.0.15.0	2007.10.28	-
eTrust-Vet	31.2.5244	2007.10.26	-
Ewido	4.0	2007.10.28	-
FileAdvisor	1	2007.10.29	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.29	-
F-Secure	6.70.13030.0	2007.10.28	-
Ikarus	T3.1.1.12	2007.10.28	-
Kaspersky	7.0.0.125	2007.10.29	-
McAfee	5150	2007.10.26	-
Microsoft	1.2908	2007.10.29	-
NOD32v2	2622	2007.10.28	-
Norman	5.80.02	2007.10.26	-
Panda	9.0.0.4	2007.10.28	-
Prevx1	V2	2007.10.29	-
Rising	19.46.61.00	2007.10.28	-
Sophos	4.23.0	2007.10.28	-
Sunbelt	2.2.907.0	2007.10.27	-
Symantec	10	2007.10.29	-
TheHacker	6.2.9.110	2007.10.27	-
VBA32	3.12.2.4	2007.10.28	-
VirusBuster	4.3.26:9	2007.10.28	-
Webwasher-Gateway	6.6.1	2007.10.28	-
Information additionnelle
File size: 110592 bytes
MD5: 568417a1f52248d4bf1fcc32798bb444
SHA1: 787416d20448e2c66459314e240798b0cc8b20f4

nardino · Answer

Bonjour,

Télécharge OTMoveIt : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe Sur ton bureau. Important.

Tu le lances, il ne nécessite pas d'installation.

Tu inscris (ou tu colles) le chemin du fichier/dossier à supprimer dans la fenêtre de gauche (Paste List of Files/Folders to be moved) et tu cliques sur MoveIt!.
(La case Unregister Dll's and OCX's doit être cochée.)

C:\WINDOWS\SYSTEM32\vekwwbrq.dll
C:\WINDOWS\SYSTEM32\ennellex.dll
C:\WINDOWS\SYSTEM32\dktwxbhf.dll
C:\WINDOWS\SYSTEM32\blhrhwqk.dll
C:\WINDOWS\SYSTEM32\iomckqib.dll 

Le fichier passe alors dans la fenêtre de droite.
Et tu obtiendras à la racine du système un dossier C:\_OTMoveIt
Dans ce dernier un sous-dossier Moved Files dans lequel il y aura une sauvegarde du/des fichier(s) supprimé(s) et un fichier de ce type
 ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression).
Tu le posteras par copier-coller pour contrôle.

Si un redémarrage est demandé, accepte-le après avoir fermé tes applications en cours.
Poste donc le rapport et donne des infos sur l'évolution de tes problèmes.

Charlotte* · Answer

Bonjour Nardino ! 

J'ai fait ce que tu m'as demandé. ça a été vraiment très rapide !
Il ne m'a pas demandé de redémarage.

Je m'en vais faire des analyses avec spybot.

à plus ! 

Voici le rapport : 

DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\vekwwbrq.dll
C:\WINDOWS\SYSTEM32\vekwwbrq.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\vekwwbrq.dll moved successfully.
 
Created on 10/29/2007 10:56:51

DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\ennellex.dll
C:\WINDOWS\SYSTEM32\ennellex.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\ennellex.dll moved successfully.
 
Created on 10/29/2007 10:58:33

DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\dktwxbhf.dll
C:\WINDOWS\SYSTEM32\dktwxbhf.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\dktwxbhf.dll moved successfully.
 
Created on 10/29/2007 10:59:00

DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\blhrhwqk.dll
C:\WINDOWS\SYSTEM32\blhrhwqk.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\blhrhwqk.dll moved successfully.
 
Created on 10/29/2007 10:59:40

DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\iomckqib.dll
C:\WINDOWS\SYSTEM32\iomckqib.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\iomckqib.dll moved successfully.
 
Created on 10/29/2007 11:00:00

Charlotte* · Answer

J'ai fait une analyse avec spybot et bonne nouvelle je n'ai plus virtumonde ! 
Il m'a juste repéré double click, Media Plex et Blue Streak qui étaient des cookies.

J'espère en être enfin débarassée ! merci en tous cas ! Toutes tes indications étaient très claires...

Par contre, j'ai une dernière question. J'ai un disque dure externe. je n'ai pas fait de mouvement de fichiers depuis que j'ai le cheval de troy mais je l'ai consulté à plusieurs reprises. Est-il possible que le cheval de troi se soit glissé dedans. Et comment faire pour l'effacer sans réinfecter l'ordi ? 

Merci ;)

gambit · Answer

Bonjour, 
le mieux c'est d'utiliser spyware doctor pctools lui au moins il te garantie que tu n a plus rien

nardino · Answer

Bonjour.

Pour terminer tu peux supprimer le fichier OTMoveIt.exe du bureau ainsi que le dossier C:\_OTMoveIt.
Pour cela tu lances le fichier OTMoveIt.exe et tu cliques sur le bouton Cleanup.
Puis dans le popup [b]Cleanup list download successful. Begin cleanup process ?[/b], accepte par [b]Yes[/b]

Pour l'infection de ton disque externe, ce type d'infection ne s'installe que dans les fichiers système, donc pas de risques à priori.

Charlotte* · Answer

Alors mauvaise nouvelle... Avast détecte encore le cheval de troi. je n'arrive pas à copier coller le rapport.
Mais 8 fichiers sont infectés. Ils sont dans "C:\System Volume Information" et un dans "Program files".

Le nom du virus est "Win32". Parfois il dit que c'est un Trojan-gen, ou Tiny-IF ou Agent LAP.

Il ajoute que le fichier a chaque fois été supprimé avec succès.

Que veux tu que je fasse ?

Charlotte* · Answer

Mon dernier scan avec Avast me dit que je n'ai plus rien.

Le dernier scan avec spybot m'indique la présence de Doubleclick et de advertising.com

Comment être vraiment sure que je n'ai plus virtumonde ?

nardino · Answer

Bonjour 

Le virus se situe dans un point de restauration.
Pour le supprimer  tu désactives la restauration système:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924
Désactiver ou activer la Restauration du système de Windows XP
Tu redémarres et tu réactives.
Doubleclick et advertising sont des cookies.
Sans réel danger.

Charlotte* · Answer

ça y est... j'ai désactivé et réactivé ! 

Penses tu que maintenant j'en suis débarassée ?

Merci en tous cas... Car même si il est tjs présent, mon ordinateur fonctionne beaucoup mieux.

Charlotte* · Answer

Je suis en train de faire analyser mon disque dure externe par Avast.

Il a détecté le cheval de troi, en me donnant les informations suivantes : 

Le nom du doc infesté : E:\System Volume Information\_restore{2D081E92-40B0-4D11-86A6-AF667022EB05}\RP535\A0117940.exe

le nom du virus : Win32:VB-EAA [Trj]

Je lui ai demandé de le supprimer. Cela a t-il pu réinfester mon ordinateur ?

L'analyse du disque dure est encore en cours (je dois partir dans 30 minutes, j'espère que ce sera fini avant)

à plus tard ! 

Charlotte

Charlotte* · Answer

Bonjour, 

J'ai refait une analyse de mon disque dure externe aujourd'hui et aucun cheval de troi n'est détecté.
Pourvu que ça dure ! ;)

nardino · Answer

Bonsoir.
Poste un rapport Hijackthis de contrôle.

Charlotte* · Answer

Bonsoir!

Heu c'est quoi "un rapport Hijackthis " ?

Sinon tout semble beaucoup mieux marcher. J'ai juste mes pages internet qui se bloquent souvent quand j'y accède par un lien déjà trouvé sur une page internet... Mais je sais pas si tu y peux qqc... !?

Bonne soirée

Charlotte

nardino · Answer

Bonsoir,
Installe cet utilitaire (Hijackthis):
http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download

Il sera dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe

Lance-le par Do a system scan and save a logfile.
A la fin du scan, un blocnote va s'ouvrir, enregistre le sous HJT1.txt.
Puis sans le fermer :
CTRL+A pour tout sélectionner
CTRL+C pour copier 
CTRL+V pour coller dans la réponse
Et tu le refermes pour le moment.
Tu attends les résultats de l'analyse.

Charlotte* · Answer

Bonjour Nardino, voici le résultat : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:12, on 2007-11-05
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\BacsTray.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PC-CAM 300 STI App Registration] RunDLL32.exe Pd016pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: La Solution Enseignement Ciel.lnk = C:\CIEL\STARTER.EXE
O4 - Startup: Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0261b5644ab45099be05/netzip/RdxIE601_fr.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D474E68-BC5B-43DD-95FD-0C94225BD30A}: NameServer = 81.253.149.9 80.10.246.3
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\eEBAPI\eEBSVC.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe

nardino · Answer

Bonjour 

Rien de méchant dans ce rapport.
Tu fermes toutes ts applications et tu lances Hijackthis par Scan only.
Tu coches les lignes suivantes:

O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/0261b5644ab45099be05/netzip/RdxIE601_fr.cab 

Puis tu cliques sur Fix checked.
Tu refermes Hijackthis.

Il faut procéder à la mise à jour des programmes suivants :

-Java Runtime Environment (JRE)6u3 :
https://www.oracle.com/java/technologies/javase-downloads.html
Clique sur Download Java Runtime Environment (JRE) 6u3
Dans la page suivante coche [b]Iaccept[/b] et télécharge [b] Windows Offline Installation, Multi-language //jre-6u3-windows-i586-p.exe //13.89 MB[/b]
Tu l'installeras navigateur fermé.
Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions. 

-Acrobat Reader 8.1.:
https://get2.adobe.com/reader/otherversions/
Décocher Téléchargez également :Adobe Photoshop® Album Édition
Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.
Tu peux aussi le remplacer par :
https://www.foxitsoftware.com/pdf-reader/


Dans Spybot Search and Destroy, Mode Avancé, Outils, Démarrage du système tu peux décocher:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet 
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe 
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot 
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

Charlotte* · Answer

Re...

ça y est... j'ai fait ce que tu m'as demandé ! 

Par contre, j'étais en mode par défaut avec Spybot. Quand j'ai demandé de passer en mode avancée, il m'a dit que cela pouvait entrainer des détériorations du système. Es tu sure que ce n'est pas dangereux pour mon ordi ?

Merci en tous cas.

nardino · Answer

Bonjour.

C'est normal, il prévient que si on fait n'importe quoi cela peut avoir des conséquences fâcheuses.
Mais si je me permets ce conseil, c'est qu'il n'y a aucun risque.
Il suffit de faire ce qui est dit sans plus.
Et si tu as des craintes, repasse ensuite en mode Normal.

Charlotte* · Answer

Ok Nardino, je te fais confiance.

Merci encore pour la clarté de tes explications. Je n'aurais jamais pensé pu être capable de faire tout ça...

Dis moi, penses tu que mon ordi est enfin débarassé de tout virus ?

Je peux enlever tous les logitiels que tu m'as fait télécharger ?

nardino · Answer

Bonsoir,
Pour supprimer tout ce qui n'est plus nécessaire, c'est très simple.
Pour cela tu lances le fichier OTMoveIt.exe et tu cliques sur le bouton Cleanup.
Puis dans le popup [b]Cleanup list download successful. Begin cleanup process ?[/b], accepte par [b]Yes[/b]
Et le tour est joué.

Charlotte* · Answer

Bonsoir Nardino ! 

Désolée de t'embêter à nouveau...

Pout OtMovit je n'ai plus le logitiel... tu avais du me le faire supprimer.

Sinon j'ai un petit problème depuis quelques jours avec Internet Explorer. Il ne s'ouvre pas toujours quand je clique dessus et il arrive souvent qu'une page Internet se bloque.
D'ailleurs quand je ferme mon ordi, une fenêtre vient souvent me dire qu'explorer est toujours en cours d'utilisation et que si je ferme mtn les fichiers en cours pourraient être effacés... (et là une bare verte apparait avec les boutons "terminer mtn" et annuler"). C'est une fenêtre qu'on voit souvent quand un logitiel ne répond pas.

Est ce que tu penses que c'est en lien avec les manip précédentes ? ou avec les antivirus ?

Merci ! 

Charlotte

nardino · Answer

Bonsoir.

Pour nettoyer tu peux utiliser ToolsCleaner de A.Rothstein
 http://perso.orange.fr/AceRothstein/ToolsCleaner2.exe
ToolsCleaner
[*] Double clique sur ToolsCleaner2.exe > clique sur Extract sans changer la destination initiale.
[*] Ouvre le Poste de Travail > ouvre le Lecteur C:\
[*] Ouvre le dossier ToolsCleaner.
[*] Double clique sur ToolsCleaner2.bat < inclued picture > et suis les directives.
[*] Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt
[*] Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"
Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Et aussi ensuite utlise ZebRestore
http://telechargement.zebulon.fr/telecharger-zeb-restore.html

Charlotte* · Answer

Bonjour Nardino,

J'ai bien téléchargé ToolsCleaner mais je n'ai pas de touche extract ! Mais les touches Restauration, Corbeille, Fichier Temp, Recherche. Que faire ?

Merci

nardino · Answer

Bonsoir.

Tu cliques sur le bouton Recherche et quand le scan est terminé , tu cliques sur Suppression et il va effacer tous les utilitaires devenus inutiles.
Tu peux aussi l'utiliser pour vider les fichiers Temp et la corbeille.

Infection par Virtumonde

38 réponses

Votre réponse

Discussions similaires

Newsletters