Bureau instable suite a virtumonde

Résolu
felisbliss -  
janet71 Messages postés 1 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
alors voila, nod32 identifie depuis quelques jours la presence d'une variante de virtumonde.
mon problème ?a part nod32, rien ne le voit: Hijackthis ne le vois pas, spybot, vundofix et les autres non plus, meme en mode sans echec. mais meme apres utiliser vundofix, fixvundo, virtumundobegone, nod 32 me dit qu'il est la (derniere fois :03/12/2007 00:24:14 http://82.98.235.78/gg/ggdll.dll?uid=4E8156589BE411DCBD9AF68474EEFFFF&guid=51D4D7C7849F41EBBFC84978E09CA094crc=0 une variante de Win32/Adware.Virtumonde application)
le gros problème, c(est que maintenant le bureau est tres instable, et disparit regulierement. la plupart du temps il reapparait au bout de quelques minutes, mais pas tout le temps. Dans ce cas, je suis donc oblige de redemarrer manuellement l'ordi.
la disparition du bureau sans sa reapparition m'est aussi arrivé en mode sans echec quand je faisait un scan nod32.
A voir également:

37 réponses

Précédent
  • 1
  • 2
Réponse 21 / 37
philae83 Messages postés 12837 Date d'inscription   Statut Contributeur sécurité Dernière intervention   206
 
bonsoir,

je ne t'oublie pas, je vais regarder tes rapports dans la soirée
0
Réponse 22 / 37
philae83 Messages postés 12837 Date d'inscription   Statut Contributeur sécurité Dernière intervention   206
 
bonsoir

visiblement cela semble correct

on va faire :

* fais un scan antivirus en ligne ICI et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Tuto (merci Morgane)


0
Réponse 23 / 37
felisbliss
 
C:\Program Files\ESET\cache\FND0.NFI=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.ASO

C:\Program Files\ESET\cache\FND0.NFI=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\cache\FND0.NFI=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\cache\FND3.NFI=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.YUY

C:\Program Files\ESET\cache\FND3.NFI=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\cache\FND4.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Infecté par: Trojan.Downloader.Purityscan.EN

C:\Program Files\ESET\cache\FND4.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Echec de la désinfection

C:\Program Files\ESET\cache\FND4.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Supprimé

C:\Program Files\ESET\cache\FND4.NFI=>(Quarantine-PE)=>(NSIS o)
Echec de la mise à jour

C:\Program Files\ESET\cache\FND5.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Infecté par: Trojan.Downloader.Purityscan.EN

C:\Program Files\ESET\cache\FND5.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Echec de la désinfection

C:\Program Files\ESET\cache\FND5.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Supprimé

C:\Program Files\ESET\cache\FND5.NFI=>(Quarantine-PE)=>(NSIS o)
Echec de la mise à jour

C:\Program Files\ESET\cache\FND6.NFI=>(Quarantine-PE)
Infecté par: Trojan.Vundo.DRQ

C:\Program Files\ESET\cache\FND6.NFI=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\cache\FND6.NFI=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\0RBN1EDA.NQF=>(Quarantine-PE)
Infecté par: Backdoor.Agent.ARK

C:\Program Files\ESET\infected\0RBN1EDA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\0RBN1EDA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\1D4UXPDA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.AWF

C:\Program Files\ESET\infected\1D4UXPDA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\1D4UXPDA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\1GXFA5CA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.AWF

C:\Program Files\ESET\infected\1GXFA5CA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\1GXFA5CA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\DAKAOOCA.NQF=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Infecté par: Trojan.Downloader.Purityscan.EN

C:\Program Files\ESET\infected\DAKAOOCA.NQF=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Echec de la désinfection

C:\Program Files\ESET\infected\DAKAOOCA.NQF=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
Supprimé

C:\Program Files\ESET\infected\DAKAOOCA.NQF=>(Quarantine-PE)=>(NSIS o)
Echec de la mise à jour

C:\Program Files\ESET\infected\DZZIUYAA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.AWF

C:\Program Files\ESET\infected\DZZIUYAA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\DZZIUYAA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\EA0K3WCA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Generic.46038

C:\Program Files\ESET\infected\EA0K3WCA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\EA0K3WCA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\EB2AEHCA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Zonebac.B

C:\Program Files\ESET\infected\EB2AEHCA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\EB2AEHCA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\EBNRPMCA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Murlo.X

C:\Program Files\ESET\infected\EBNRPMCA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\EBNRPMCA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\FQNAYCBA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Zonebac.B

C:\Program Files\ESET\infected\FQNAYCBA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\FQNAYCBA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\IE2E2SCA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Generic.46038

C:\Program Files\ESET\infected\IE2E2SCA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\IE2E2SCA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\JD4WN0AA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Generic.46038

C:\Program Files\ESET\infected\JD4WN0AA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\JD4WN0AA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\JZU3ZUCA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Zonebac.B

C:\Program Files\ESET\infected\JZU3ZUCA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\JZU3ZUCA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\LOMJVUAA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Generic.46038

C:\Program Files\ESET\infected\LOMJVUAA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\LOMJVUAA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\LRNUC4BA.NQF=>(Quarantine-PE)
Infecté par: BehavesLike:Win32.ExplorerHijack

C:\Program Files\ESET\infected\LRNUC4BA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\LRNUC4BA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\O1NPX0DA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.AWF

C:\Program Files\ESET\infected\O1NPX0DA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\O1NPX0DA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\P5W4L4DA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Clicker.Agent.JH

C:\Program Files\ESET\infected\P5W4L4DA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\P5W4L4DA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\Q0O213AA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.AWF

C:\Program Files\ESET\infected\Q0O213AA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\Q0O213AA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\Q2PKA0BA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Clicker.Agent.JH

C:\Program Files\ESET\infected\Q2PKA0BA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\Q2PKA0BA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\Q4TWMOBA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Clicker.Agent.JH

C:\Program Files\ESET\infected\Q4TWMOBA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\Q4TWMOBA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\QVUMWTDA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Zonebac.B

C:\Program Files\ESET\infected\QVUMWTDA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\QVUMWTDA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\R43WTRDA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Zonebac.B

C:\Program Files\ESET\infected\R43WTRDA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\R43WTRDA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\SYH12ACA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Zonebac.B

C:\Program Files\ESET\infected\SYH12ACA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\SYH12ACA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\VC1YS1BA.NQF=>(Quarantine-PE)
Infecté par: Win32.Worm.P2P.Puce.G

C:\Program Files\ESET\infected\VC1YS1BA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\VC1YS1BA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\VG2I5KDA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.AWF

C:\Program Files\ESET\infected\VG2I5KDA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\VG2I5KDA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\W5T2WGCA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.AWF

C:\Program Files\ESET\infected\W5T2WGCA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\W5T2WGCA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\WN535VAA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.AWF

C:\Program Files\ESET\infected\WN535VAA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\WN535VAA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\XJ4KWNCA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Vundo.DRQ

C:\Program Files\ESET\infected\XJ4KWNCA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\XJ4KWNCA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\Y0HSLNBA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Downloader.Agent.ASO

C:\Program Files\ESET\infected\Y0HSLNBA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\Y0HSLNBA.NQF=>(Quarantine-PE)
Supprimé

C:\Program Files\ESET\infected\Z34EWIAA.NQF=>(Quarantine-PE)
Infecté par: Trojan.Zonebac.B

C:\Program Files\ESET\infected\Z34EWIAA.NQF=>(Quarantine-PE)
Echec de la désinfection

C:\Program Files\ESET\infected\Z34EWIAA.NQF=>(Quarantine-PE)
Supprimé

C:\qoobox\Quarantine\C\WINDOWS\system32\khfcaaw.dll.vir
Infecté par: Trojan.Vundo.DRI

C:\qoobox\Quarantine\C\WINDOWS\system32\khfcaaw.dll.vir
Supprimé

C:\qoobox\Quarantine\C\WINDOWS\system32\tuvttst.dll.vir
Infecté par: Trojan.Vundo.DRI

C:\qoobox\Quarantine\C\WINDOWS\system32\tuvttst.dll.vir
Supprimé

C:\qoobox\Quarantine\C\WINDOWS\system32\yayaayw.dll.vir
Infecté par: Trojan.Vundo.DRI

C:\qoobox\Quarantine\C\WINDOWS\system32\yayaayw.dll.vir
Supprimé

C:\svcipa.exe
Infecté par: Trojan.Zonebac.B

C:\svcipa.exe
Echec de la désinfection

C:\svcipa.exe
Supprimé

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000005.dll
Infecté par: Trojan.Vundo.DRI

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000005.dll
Supprimé

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000006.dll
Infecté par: Trojan.Vundo.DRI

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000006.dll
Supprimé

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000007.dll
Infecté par: Trojan.Vundo.DRI

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000007.dll
Supprimé

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000092.exe
Infecté par: Trojan.Zonebac.B

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000092.exe
Echec de la désinfection

C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000092.exe
Supprimé

C:\VundoFix Backups\cbxwwuv.dll.bad
Infecté par: Trojan.Vundo.DRI

C:\VundoFix Backups\cbxwwuv.dll.bad
Supprimé

C:\WINDOWS\system32\nnnkljj.dll.vir
Infecté par: Trojan.Vundo.DRI

C:\WINDOWS\system32\nnnkljj.dll.vir
Supprimé

E:\Mes medias\australie.exe
Infecté par: Joke.Flipped

E:\Mes medias\australie.exe
Echec de la désinfection

E:\Mes medias\australie.exe
Supprimé

E:\Mes medias\bonjour....exe
Infecté par: Trojan.Shock.D

E:\Mes medias\bonjour....exe
Echec de la désinfection

E:\Mes medias\bonjour....exe
Supprimé

E:\Mes medias\car.exe
Infecté par: Joke.Rabbit

E:\Mes medias\car.exe
Echec de la désinfection

E:\Mes medias\car.exe
Supprimé

E:\Mes medias\mona.exe
Infecté par: Trojan.Joke.Mona.A

E:\Mes medias\mona.exe
Echec de la désinfection

E:\Mes medias\mona.exe
Supprimé

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000093.exe
Infecté par: Joke.Flipped

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000093.exe
Echec de la désinfection

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000093.exe
Supprimé

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000094.exe
Infecté par: Trojan.Shock.D

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000094.exe
Echec de la désinfection

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000094.exe
Supprimé

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000095.exe
Infecté par: Joke.Rabbit

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000095.exe
Echec de la désinfection

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000095.exe
Supprimé

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000096.exe
Infecté par: Trojan.Joke.Mona.A

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000096.exe
Echec de la désinfection

E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000096.exe
Supprimé



oula, avec tous les trucs que j'ai déjà faits , je commence a voir la bestiole comme un grand malade :)
(et toujours merci beaucoup)
0
Réponse 24 / 37
felisbliss
 
je crois qu'en fait c'est peut-être juste ca qui etait demandé non ? :



BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Thu, Dec 06, 2007 - 06:53:19
--------------------------------------------------------------------------------
Info d'analyse

Fichiers scannés
469269

Infectés Fichiers
55


Virus Détectés

Trojan.Shock.D
2
Trojan.Vundo.DRQ
2
Trojan.Joke.Mona.A
3
Backdoor.Agent.ARK
1
Trojan.Zonebac.B
9
Trojan.Downloader.Agent.YUY
1
Joke.Rabbit
3
Trojan.Downloader.Murlo.X
1
Trojan.Downloader.Agent.ASO
2
Trojan.Downloader.Purityscan.EN
3
Win32.Worm.P2P.Puce.G
1
Trojan.Vundo.DRI
8
Trojan.Downloader.Agent.AWF
8
Trojan.Generic.46038
4
Trojan.Clicker.Agent.JH
3
Joke.Flipped
3
BehavesLike:Win32.ExplorerHijack
1
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 37
philae83 Messages postés 12837 Date d'inscription   Statut Contributeur sécurité Dernière intervention   206
 
bonjour,

non c'était bien le premier rapport que tu as posté qui m'intéressait.

As tu encore des problèmes. Je vois que bitdefender a fini de nettoyer qq petites choses, le reste étant dans les quarantaine et la restauration système

0
Réponse 26 / 37
felisbliss
 
Bonjour, a priori je touche du bois mais ca a l'air d'aller bien :)

merci beaucoup
0
Réponse 27 / 37
felisbliss
 
AH NON ! c'est pas vrai !!
a la seconde ou je laisse un message ici, j'ai de ,nouveau le bureau qui disparait, et la je viens de faire un scan hijackthis, et je trouve ca :

O2 - BHO: (no name) - {B285004D-6D02-4212-91FC-B8F47B68C254} - C:\WINDOWS\system32\opnljii.dll
O20 - Winlogon Notify: opnljii - C:\WINDOWS\SYSTEM32\opnljii.dll


je crois que c'est reparti, non ? :'(
0
Réponse 28 / 37
philae83 Messages postés 12837 Date d'inscription   Statut Contributeur sécurité Dernière intervention   206
 
bonjour,

relance combofix, poste le rapport
ainsi qu'un nouveau rapport hijackthis stp

je reviendrais plus tard
0
Réponse 29 / 37
felisbliss
 
Au moins ce qu'il y a de bien, c'est que j'ai deja tous les programmes ...



COMBOFIX :
ComboFix 07-12-02.6 - Felis 2007-12-10 17:30:07.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.542 [GMT 1:00]
Running from: C:\Documents and Settings\Felis\Bureau\Nouveau dossier\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\qstwa.ini
C:\WINDOWS\system32\qstwa.ini2

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-10 to 2007-12-10 ))))))))))))))))))))))))))))))))))))
.

2007-12-10 08:53 . 2007-12-10 08:53 <REP> d-------- C:\Documents and Settings\Felis\Application Data\Grisoft
2007-12-10 08:53 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-10 04:46 . 2007-12-10 04:47 39,936 --a------ C:\WINDOWS\system32\opnllml.dll
2007-12-10 04:46 . 2007-12-10 04:46 39,936 --a------ C:\WINDOWS\system32\opnljii.dll.vir
2007-12-07 22:28 . 2007-12-07 22:40 <REP> d-------- C:\Documents and Settings\Felis\Application Data\yoclient
2007-12-07 21:45 . 2007-10-08 21:45 32 -ra------ C:\Documents and Settings\All Users\hash.dat
2007-12-07 21:44 . 2007-12-07 21:44 <REP> d-------- C:\Documents and Settings\Felis\.narya
2007-12-07 21:27 . 2007-12-07 21:46 <REP> d-------- C:\Documents and Settings\Felis\Application Data\bang
2007-12-06 22:25 . 2007-12-06 22:25 244 --ah----- C:\sqmnoopt15.sqm
2007-12-06 22:25 . 2007-12-06 22:25 232 --ah----- C:\sqmdata15.sqm
2007-12-06 03:14 . 2007-12-10 08:43 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-04 00:40 . 2007-12-04 00:40 244 --ah----- C:\sqmnoopt14.sqm
2007-12-04 00:40 . 2007-12-04 00:40 232 --ah----- C:\sqmdata14.sqm
2007-12-04 00:31 . 2007-12-04 00:31 244 --ah----- C:\sqmnoopt13.sqm
2007-12-04 00:31 . 2007-12-04 00:31 232 --ah----- C:\sqmdata13.sqm
2007-12-03 23:53 . 2007-12-03 23:53 244 --ah----- C:\sqmnoopt12.sqm
2007-12-03 23:53 . 2007-12-03 23:53 232 --ah----- C:\sqmdata12.sqm
2007-12-03 22:11 . 2007-12-03 22:11 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-12-03 03:58 . 2007-12-03 03:58 244 --ah----- C:\sqmnoopt11.sqm
2007-12-03 03:58 . 2007-12-03 03:58 232 --ah----- C:\sqmdata11.sqm
2007-12-03 03:57 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-12-03 03:49 . 2007-12-03 03:49 244 --ah----- C:\sqmnoopt10.sqm
2007-12-03 03:49 . 2007-12-03 03:49 232 --ah----- C:\sqmdata10.sqm
2007-12-03 03:44 . 2007-12-03 03:46 <REP> d-------- C:\Program Files\Navilog1
2007-12-03 03:17 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2007-12-03 03:17 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2007-12-03 03:17 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2007-12-03 03:17 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2007-12-03 03:17 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2007-12-03 03:09 . 2007-12-03 03:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-03 03:04 . 2007-12-03 03:08 <REP> d-------- C:\Program Files\RegCleaner
2007-12-03 02:56 . 2007-12-03 02:56 244 --ah----- C:\sqmnoopt09.sqm
2007-12-03 02:56 . 2007-12-03 02:56 232 --ah----- C:\sqmdata09.sqm
2007-12-03 02:51 . 2007-12-03 02:51 244 --ah----- C:\sqmnoopt08.sqm
2007-12-03 02:51 . 2007-12-03 02:51 232 --ah----- C:\sqmdata08.sqm
2007-12-03 00:46 . 2007-12-03 00:46 244 --ah----- C:\sqmnoopt07.sqm
2007-12-03 00:46 . 2007-12-03 00:46 232 --ah----- C:\sqmdata07.sqm
2007-12-01 17:40 . 2007-12-03 07:32 660 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-12-01 17:39 . 2007-12-01 17:39 244 --ah----- C:\sqmnoopt06.sqm
2007-12-01 17:39 . 2007-12-01 17:39 232 --ah----- C:\sqmdata06.sqm
2007-12-01 17:35 . 2007-12-01 17:35 244 --ah----- C:\sqmnoopt05.sqm
2007-12-01 17:35 . 2007-12-01 17:35 232 --ah----- C:\sqmdata05.sqm
2007-11-30 08:41 . 2007-11-30 08:41 244 --ah----- C:\sqmnoopt04.sqm
2007-11-30 08:41 . 2007-11-30 08:41 232 --ah----- C:\sqmdata04.sqm
2007-11-29 17:12 . 2007-12-10 05:44 <REP> d-------- C:\VundoFix Backups
2007-11-29 17:08 . 2007-11-29 17:08 <REP> d-------- C:\Program Files\Trend Micro
2007-11-29 06:43 . 2007-11-29 06:43 <REP> d-------- C:\Documents and Settings\Felis\Application Data\ICQLite
2007-11-29 06:28 . 2007-11-29 06:28 244 --ah----- C:\sqmnoopt03.sqm
2007-11-29 06:28 . 2007-11-29 06:28 232 --ah----- C:\sqmdata03.sqm
2007-11-29 06:23 . 2007-11-29 06:23 244 --ah----- C:\sqmnoopt02.sqm
2007-11-29 06:23 . 2007-11-29 06:23 232 --ah----- C:\sqmdata02.sqm
2007-11-26 07:06 . 2007-11-26 07:06 244 --ah----- C:\sqmnoopt01.sqm
2007-11-26 07:06 . 2007-11-26 07:06 232 --ah----- C:\sqmdata01.sqm
2007-11-26 06:49 . 2007-11-26 06:49 244 --ah----- C:\sqmnoopt00.sqm
2007-11-26 06:49 . 2007-11-26 06:49 232 --ah----- C:\sqmdata00.sqm
2007-11-26 06:39 . 2007-12-10 04:47 32,764 --a------ C:\WINDOWS\17PHolmes572.exe
2007-11-19 17:21 . 2007-11-19 17:21 <REP> d--h----- C:\WINDOWS\PIF
2007-11-11 07:26 . 2007-11-11 07:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-07 23:56 --------- d-----w C:\Program Files\Java
.

((((((((((((((((((((((((((((( snapshot@2007-12-04_ 0.34.24.01 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-06 02:15:19 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll
+ 2007-12-06 02:15:19 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll
+ 2007-12-06 02:15:19 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll
+ 2007-12-06 02:15:21 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll
+ 2007-12-10 05:07:20 77,824 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2006-05-25 00:21:14 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
+ 2007-12-06 02:15:21 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll
+ 2007-12-06 02:15:19 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll
+ 2006-05-25 00:22:06 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
+ 2006-05-25 00:21:00 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll
+ 2006-05-25 00:21:14 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll
- 2004-08-03 22:54:22 1,017,344 ----a-w C:\WINDOWS\system32\browseui.dll
+ 2007-08-22 13:13:05 1,023,488 ----a-w C:\WINDOWS\system32\browseui.dll
- 2004-08-03 22:54:22 151,552 ----a-w C:\WINDOWS\system32\cdfview.dll
+ 2007-08-22 13:13:05 152,064 ----a-w C:\WINDOWS\system32\cdfview.dll
- 2004-08-03 22:54:24 1,056,256 ----a-w C:\WINDOWS\system32\danim.dll
+ 2007-08-22 13:13:05 1,056,768 ----a-w C:\WINDOWS\system32\danim.dll
- 2004-08-03 22:54:22 1,017,344 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll
+ 2007-08-22 13:13:05 1,023,488 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll
- 2004-08-03 22:54:22 151,552 -c--a-w C:\WINDOWS\system32\dllcache\cdfview.dll
+ 2007-08-22 13:13:05 152,064 -c--a-w C:\WINDOWS\system32\dllcache\cdfview.dll
- 2004-08-03 22:54:24 1,056,256 -c--a-w C:\WINDOWS\system32\dllcache\danim.dll
+ 2007-08-22 13:13:05 1,056,768 -c--a-w C:\WINDOWS\system32\dllcache\danim.dll
- 2004-08-03 22:54:24 357,888 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
+ 2007-08-22 13:13:05 357,888 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
- 2004-08-03 22:54:24 201,728 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
+ 2007-08-22 13:13:05 205,312 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
- 2004-08-03 22:54:26 55,808 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll
+ 2007-08-22 13:13:05 55,808 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll
- 2004-08-03 22:54:52 18,432 -c--a-w C:\WINDOWS\system32\dllcache\iedw.exe
+ 2007-08-21 10:30:45 18,432 -c--a-w C:\WINDOWS\system32\dllcache\iedw.exe
- 2004-08-03 22:54:28 249,344 -c--a-w C:\WINDOWS\system32\dllcache\iepeers.dll
+ 2007-08-22 13:13:05 251,392 -c--a-w C:\WINDOWS\system32\dllcache\iepeers.dll
- 2004-08-03 22:54:30 96,768 -c--a-w C:\WINDOWS\system32\dllcache\inseng.dll
+ 2007-08-22 13:13:06 96,768 -c--a-w C:\WINDOWS\system32\dllcache\inseng.dll
- 2004-08-03 22:54:30 15,872 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
+ 2007-08-22 13:13:06 16,384 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
- 2004-08-03 22:54:34 3,003,392 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
+ 2007-08-22 13:13:07 3,079,168 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll
- 2004-08-03 22:54:34 448,512 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
+ 2007-08-22 13:13:07 449,024 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
- 2004-08-03 22:54:36 146,432 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll
+ 2007-08-22 13:13:07 146,432 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll
- 2004-08-03 22:54:36 530,432 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll
+ 2007-08-22 13:13:07 532,480 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll
- 2004-08-03 22:54:38 39,424 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
+ 2007-08-22 13:13:07 39,424 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
- 2004-08-03 22:54:40 1,483,776 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
+ 2007-08-22 13:13:08 1,495,040 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll
- 2004-08-03 22:54:40 474,112 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
+ 2007-08-22 13:13:08 474,624 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll
- 2004-08-03 22:54:44 603,136 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
+ 2007-08-22 13:13:08 617,472 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll
- 2004-08-03 22:54:46 660,480 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
+ 2007-08-22 13:13:08 663,040 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll
- 2004-08-03 22:54:24 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll
+ 2007-08-22 13:13:05 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll
- 2004-08-03 22:54:24 201,728 ----a-w C:\WINDOWS\system32\dxtrans.dll
+ 2007-08-22 13:13:05 205,312 ----a-w C:\WINDOWS\system32\dxtrans.dll
- 2004-08-03 22:54:26 55,808 ----a-w C:\WINDOWS\system32\extmgr.dll
+ 2007-08-22 13:13:05 55,808 ----a-w C:\WINDOWS\system32\extmgr.dll
- 2004-08-03 22:54:28 249,344 ----a-w C:\WINDOWS\system32\iepeers.dll
+ 2007-08-22 13:13:05 251,392 ----a-w C:\WINDOWS\system32\iepeers.dll
- 2004-08-03 22:54:30 96,768 ----a-w C:\WINDOWS\system32\inseng.dll
+ 2007-08-22 13:13:06 96,768 ----a-w C:\WINDOWS\system32\inseng.dll
- 2004-08-03 22:54:30 15,872 ----a-w C:\WINDOWS\system32\jsproxy.dll
+ 2007-08-22 13:13:06 16,384 ----a-w C:\WINDOWS\system32\jsproxy.dll
- 2004-08-03 22:54:34 3,003,392 ----a-w C:\WINDOWS\system32\mshtml.dll
+ 2007-08-22 13:13:07 3,079,168 ----a-w C:\WINDOWS\system32\mshtml.dll
- 2004-08-03 22:54:34 448,512 ----a-w C:\WINDOWS\system32\mshtmled.dll
+ 2007-08-22 13:13:07 449,024 ----a-w C:\WINDOWS\system32\mshtmled.dll
- 2004-08-03 22:54:36 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
+ 2007-08-22 13:13:07 146,432 ----a-w C:\WINDOWS\system32\msrating.dll
- 2004-08-03 22:54:36 530,432 ----a-w C:\WINDOWS\system32\mstime.dll
+ 2007-08-22 13:13:07 532,480 ----a-w C:\WINDOWS\system32\mstime.dll
- 2004-08-03 22:54:38 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll
+ 2007-08-22 13:13:07 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll
- 2004-08-03 22:54:40 1,483,776 ----a-w C:\WINDOWS\system32\shdocvw.dll
+ 2007-08-22 13:13:08 1,495,040 ----a-w C:\WINDOWS\system32\shdocvw.dll
- 2004-08-03 22:54:40 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll
+ 2007-08-22 13:13:08 474,624 ----a-w C:\WINDOWS\system32\shlwapi.dll
- 2004-08-03 22:54:44 603,136 ----a-w C:\WINDOWS\system32\urlmon.dll
+ 2007-08-22 13:13:08 617,472 ----a-w C:\WINDOWS\system32\urlmon.dll
- 2004-08-03 22:54:46 660,480 ----a-w C:\WINDOWS\system32\wininet.dll
+ 2007-08-22 13:13:08 663,040 ----a-w C:\WINDOWS\system32\wininet.dll
+ 2007-12-10 16:37:09 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_788.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATnotes.exe"="C:\Program Files\ATnotes\ATnotes.exe" [2005-01-05 15:45]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" [2006-07-11 11:06]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 C:\WINDOWS\soundman.exe]
"CCProxy"="C:\CCProxy\CCProxy.exe" []
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2006-12-25 05:26]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 C:\WINDOWS\LOGI_MWX.EXE]
"ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" [2006-07-11 11:06]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2004-10-04 18:53]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-10 08:24:07 C:\WINDOWS\Tasks\Nettoyage de disque.job"
- C:\WINDOWS\system32\cleanmgr.exe
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-10 17:37:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-10 17:39:29 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-04 00:35
.
--- E O F ---














HIJACKTHIS :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:40:57, on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
0
Réponse 30 / 37
philae83 Messages postés 12837 Date d'inscription   Statut Contributeur sécurité Dernière intervention   206
 
bonsoir

j'aimerai avant d'analyser ces rapports que tu m'expliques d'où tu ressors ceux dont tu m'as parlé 

O2 - BHO: (no name) - {B285004D-6D02-4212-91FC-B8F47B68C254} - C:\WINDOWS\system32\opnljii.dll
O20 - Winlogon Notify: opnljii - C:\WINDOWS\SYSTEM32\opnljii.dll


ils n'apparaissent pas dans ces nouveaux rapports
0
Réponse 31 / 37
felisbliss
 
et bien c'est les deux lignes qui m'avaient marquées dans le premier hijackthis que j'ai fait quand le bureau a recommence a sauter. C'etaient les deux lignes qui m'ont fait penser que virtumondo etait de nouveau la.
j'ai donc fait un vundofix et virtumundobegone qui a fait redemarrer l'ordi.
le hijackthis posté est celui d'apres.
0
Réponse 32 / 37
philae83 Messages postés 12837 Date d'inscription   Statut Contributeur sécurité Dernière intervention   206
 
tu m'excuseras mais j'ai du mal à te suivre. Tu as quoi comme problème actuellement ?
le bureau qui saute ? 

j'ai donc fait un vundofix et virtumundobegone qui a fait redemarrer l'ordi.


si tu utilises des programmes sans raison, et sans savoir, alors que de toutes façons ils ne suppriment pas systématiquement, ça ne sert à rien du tout.
Si tu as lancé vundo et virtumondebegone poste les rapports stp
0
Réponse 33 / 37
felisbliss
 
bon alors je reprends les choses dans l'ordre, car non, je ne lance pas n'importe quoi sans savoir, en tout cas j'essaye. Je sais que c'est fatiguant de devoir repondre a des gens qui font n'importe quoi avec leur ordi a longueur de journée et viennent pleurer ici apres, mais je ne pense pas que c'est mon cas. Je me fait peut-etre des illusions.
J'ai surement eu tort au bout du compte de faire ce que j'a fait, mais je ne l'ai pas fait sans reflechir, et sans choisir mes actions.

depuis plusieurs jours il semblait que je n'avais plus de probleme, mais j'utilisais tres peu l'internet
le soir ou j'ai posté pour dire que je n'avais visiblement plus de probleme, apres quelques minutes de surf, le bureau a de nouveau disparu.
J'ai donc lance un hijackthis, sur lequel j'ai remarqué ces deux lignes, la 02 et la 20 que j'ai donc posté sur ce sujet.
comme ces deux lignes, la 02 et la 20, representaient selon ce que des personnes competente m'avaient dit etre une preuve d'une infection adware type vundo, j'ai essayer de voir si vundofix le trouvait (reponse : non). J'ai alors lancé le virtumundobegone, qui s'est tout de suite arreté a a fait redemarré l'ordi. je poste le rapport a la fin de ce poste.
Ce soir le bureau n'a pas encore sauté,mais je ne suis pas la depuis longtemps, et la derniere fois que j'ai dit que je n'avais plus de probleme, ca a recommence dix minutes apres

cordialement




[12/10/2007, 5:58:50] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Felis\Bureau\Nouveau dossier\VirtumundoBeGone.exe" )
[12/10/2007, 5:58:56] - Detected System Information:
[12/10/2007, 5:58:56] - Windows Version: 5.1.2600, Service Pack 2
[12/10/2007, 5:58:56] - Current Username: Felis (Admin)
[12/10/2007, 5:58:56] - Windows is in NORMAL mode.
[12/10/2007, 5:58:56] - Searching for Browser Helper Objects:
[12/10/2007, 5:58:56] - BHO 1: {037FB606-8560-4C47-9520-803623A09662} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] - Checking for HKLM\...\Winlogon\Notify\awtsq
[12/10/2007, 5:58:56] - Key not found: HKLM\...\Winlogon\Notify\awtsq, continuing.
[12/10/2007, 5:58:56] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/10/2007, 5:58:56] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/10/2007, 5:58:56] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/10/2007, 5:58:56] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] - No filename found. Continuing.
[12/10/2007, 5:58:56] - BHO 6: {B285004D-6D02-4212-91FC-B8F47B68C254} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] - Checking for HKLM\...\Winlogon\Notify\opnljii
[12/10/2007, 5:58:56] - Found: HKLM\...\Winlogon\Notify\opnljii - This is probably Virtumundo.
[12/10/2007, 5:58:56] - Assigning {B285004D-6D02-4212-91FC-B8F47B68C254} MSEvents Object
[12/10/2007, 5:58:56] - BHO list has been changed! Starting over...
[12/10/2007, 5:58:56] - BHO 1: {037FB606-8560-4C47-9520-803623A09662} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] - Checking for HKLM\...\Winlogon\Notify\awtsq
[12/10/2007, 5:58:56] - Key not found: HKLM\...\Winlogon\Notify\awtsq, continuing.
[12/10/2007, 5:58:56] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/10/2007, 5:58:56] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/10/2007, 5:58:56] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/10/2007, 5:58:56] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] - No filename found. Continuing.
[12/10/2007, 5:58:56] - BHO 6: {B285004D-6D02-4212-91FC-B8F47B68C254} (MSEvents Object)
[12/10/2007, 5:58:56] - ALERT: Found MSEvents Object!
[12/10/2007, 5:58:56] - Finished Searching Browser Helper Objects
[12/10/2007, 5:58:56] - *** Detected MSEvents Object
[12/10/2007, 5:58:56] - Trying to remove MSEvents Object...
[12/10/2007, 5:58:57] - Terminating Process: IEXPLORE.EXE
[12/10/2007, 5:58:58] - Terminating Process: RUNDLL32.EXE
[12/10/2007, 5:58:58] - Disabling Automatic Shell Restart
[12/10/2007, 5:58:58] - Terminating Process: EXPLORER.EXE
[12/10/2007, 5:58:58] - Suspending the NT Session Manager System Service
[12/10/2007, 5:58:59] - Terminating Windows NT Logon/Logoff Manager
[12/10/2007, 5:58:59] - Re-enabling Automatic Shell Restart
[12/10/2007, 5:58:59] - File to disable: C:\WINDOWS\system32\opnljii.dll
[12/10/2007, 5:58:59] - Renaming C:\WINDOWS\system32\opnljii.dll -> C:\WINDOWS\system32\opnljii.dll.vir
[12/10/2007, 5:58:59] - ! File rename was unsucessful.
[12/10/2007, 5:58:59] - Attempting to Deny Access to C:\WINDOWS\system32\opnljii.dll
[12/10/2007, 5:58:59] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[12/10/2007, 5:58:59] - ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

[12/10/2007, 5:58:59] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[12/10/2007, 5:58:59] - Removing HKLM\...\Browser Helper Objects\{B285004D-6D02-4212-91FC-B8F47B68C254}
[12/10/2007, 5:59:00] - Removing HKCR\CLSID\{B285004D-6D02-4212-91FC-B8F47B68C254}
[12/10/2007, 5:59:00] - Adding Kill Bit for ActiveX for GUID: {B285004D-6D02-4212-91FC-B8F47B68C254}
[12/10/2007, 5:59:00] - Deleting ATLEvents/MSEvents Registry entries
[12/10/2007, 5:59:00] - Removing HKLM\...\Winlogon\Notify\opnljii
[12/10/2007, 5:59:00] - Searching for Browser Helper Objects:
[12/10/2007, 5:59:00] - BHO 1: {037FB606-8560-4C47-9520-803623A09662} ()
[12/10/2007, 5:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:59:00] - Checking for HKLM\...\Winlogon\Notify\awtsq
[12/10/2007, 5:59:00] - Key not found: HKLM\...\Winlogon\Notify\awtsq, continuing.
[12/10/2007, 5:59:00] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/10/2007, 5:59:00] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/10/2007, 5:59:00] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/10/2007, 5:59:00] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/10/2007, 5:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:59:00] - No filename found. Continuing.
[12/10/2007, 5:59:00] - Finished Searching Browser Helper Objects
[12/10/2007, 5:59:00] - Finishing up...
[12/10/2007, 5:59:00] - A restart is needed.
[12/10/2007, 6:03:42] - Attempting to Restart via STOP error (Blue Screen!)

[12/10/2007, 6:06:15] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Felis\Bureau\Nouveau dossier\VirtumundoBeGone.exe" )
[12/10/2007, 6:06:18] - Detected System Information:
[12/10/2007, 6:06:18] - Windows Version: 5.1.2600, Service Pack 2
[12/10/2007, 6:06:18] - Current Username: Felis (Admin)
[12/10/2007, 6:06:18] - Windows is in NORMAL mode.
[12/10/2007, 6:06:18] - Searching for Browser Helper Objects:
[12/10/2007, 6:06:18] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/10/2007, 6:06:18] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/10/2007, 6:06:19] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/10/2007, 6:06:19] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/10/2007, 6:06:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 6:06:19] - No filename found. Continuing.
[12/10/2007, 6:06:19] - BHO 5: {946C4E06-EFBA-4D7F-A6E3-4CC61434895B} ()
[12/10/2007, 6:06:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 6:06:19] - Checking for HKLM\...\Winlogon\Notify\awtsq
[12/10/2007, 6:06:19] - Key not found: HKLM\...\Winlogon\Notify\awtsq, continuing.
[12/10/2007, 6:06:19] - Finished Searching Browser Helper Objects
[12/10/2007, 6:06:19] - Finishing up...
[12/10/2007, 6:06:19] - Nothing found! Exiting...
0
Réponse 34 / 37
philae83 Messages postés 12837 Date d'inscription   Statut Contributeur sécurité Dernière intervention   206
 
re

merci pour tes explications, néanmoins afin d'être sûre d'avoir tout à fait compris. Une précision stp 

depuis plusieurs jours il semblait que je n'avais plus de probleme, mais j'utilisais tres peu l'internet
le soir ou j'ai posté pour dire que je n'avais visiblement plus de probleme, apres quelques minutes de surf, le bureau a de nouveau disparu.
J'ai donc lance un hijackthis, sur lequel j'ai remarqué ces deux lignes, la 02 et la 20 que j'ai donc posté sur ce sujet.


cela correspond au début de ce topic c'est bien cela ? parce que le 10/12 lorsque tu as reposté le rapport hijackthis les lignes dont tu parles n'y sont pas

ce n'est pas simple pour toi, je te l'accorde, mais pas forcément simple d'être sûr d'avoir compris pour moi non +

si je te demande des précisions c'est pour éviter de tourner en rond inutilement. 

j'ai donc fait un vundofix et virtumundobegone qui a fait redemarrer l'ordi.


poste le rapport de vundo si tu l'as refait stp

ensuite en ce qui concerne virtumondebegone et le dernier rapport combo. Lequel as tu fait en dernier ?



0
Réponse 35 / 37
felisbliss
 
donc premiere infection vundo fin novembre, mais je n'ai commencé a m'en occupé que le 03/12, d'ou l'ouverture du post ici*
a partir du 06/12 ca avait l'air d'aller, mais je n'etait pas beaucoup sur le net, donc je ne suis sure de rien
le 10/12, bingo, ca recommence, le bureau disparait

vundofix du 10/12/07:

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:12:32 29/11/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:24:12 01/12/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:43:45 01/12/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.7.0

Checking Java version...

Java version is 1.5.0.10

Scan started at 21:59:20 03/12/2007

Listing files found while scanning....

C:\windows\system32\cbxwwuv.dll

Beginning removal...

Attempting to delete C:\windows\system32\cbxwwuv.dll
C:\windows\system32\cbxwwuv.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.0

Checking Java version...

Java version is 1.5.0.10

Scan started at 05:44:26 10/12/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...







je n'ai fait de moi meme que le virtumundobegone, juste apres le vundofix, avant de reposter ici
donc le combo, c'est apres la reponse de 14h48 du 10/12 qui me disait de le lancer

TIERCE:
(hijackthis)
vundofix
virtumundobegone
combo
(re-hijackthis)
0
Réponse 36 / 37
philae83 Messages postés 12837 Date d'inscription   Statut Contributeur sécurité Dernière intervention   206
 
bonjour,

suis un peu paumée dans tout ça. Etrange, y a rien dans le rapport hijackthis en tous les cas.
vundo non +

* Fait un scan antivirus en ligne Panda et copie colle le résultat ici
https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
(avec Internet Explorer et désactive ton Antivirus pendant le scan)

* tuto en image
http://pageperso.aol.fr/loraline60/panda_scan.htm

0
Réponse 37 / 37
janet
 
Bonjour,j'ai le même souci depuis 2j....j'ai commencé la procedure avec les 2 scan
les voici
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:30, on 12/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g] C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: DirectX Service (DirectLiwm) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Advanced Registry Doctor\RegManServ.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
sohsoh Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
Salut,
Moi aussi même problème comme janet…
Savez-vous si il y a eu une attaque par "virtumonde"???
En tout cas s'est bien embêtant…
Les mêmes maux ont-ils les mêmes remèdes???
Ou chaque PC est particulier devant ce problème???
En plus du bureau instable j'ai des fenêtres de pub qui s'ouvrent avec IE pour des jeux et des jeux d'argent…Egalement mes dossiers se ferment intempestivement dès que je veux couper/coller un fichier pour le changer de dossier…
N'étant pas vraiment une spécialiste des viruses, malware et autre problèmes de ce type merci de me venir en aide et me guider pas à pas…
MERCI à vous.
0
janet71 Messages postés 1 Date d'inscription   Statut Membre Dernière intervention   > sohsoh Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
 
finalement j'ai suivi la procédure toute seule et depuis ce matin le pc est stable panda m'a trouvé 9 vilains trucs et un virtumonde dll ...tout est détruit enfin.....
merci pour cette procédure toujours d'actualité
0

Discussions similaires

Enregistrement powerpoint 2013 impossible
Max_New -
Melokie -

16 réponses
problème sur powerpoint
Lyli72 -
Raymond PENTIER -

4 réponses
Carte pré-payée bureau tabac.
Jean_Bonn -
Utilisateur anonyme -

9 réponses
Ping instable
Areclas -
brupala -

3 réponses
supprimer une icône du bureau
johnpaul1402 -
didmed -

3 réponses