virus récurrent Fermé

Question

Bonjour,
dès que je me connecte à internet un mesage apparait disant : 
Service Affichage des messages
 
Message de SYSTEM à ALERT le 18/02/2006 11:46:30
 
STOP ! WINDOWS REQUIRES IMMEDIATE ATTENTION.
 
Windows has found CRITICAL SYSTEM ERRORS.
 
Run Registry Repair from : http://www.fixwin32.com
 
FAILLURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION! 

j'ai beau fermé la fenêtre elle réapparait et après quelques minutes internet ne répond plus puis l'ordinateur redémarre sans je je puisse l'arrêter. Sa m'est déjà arrivé une première fois où j'ai réinstaller windows 3 ou 4 fois pour toujours me retrouver avec le même virus alors jai changé de disque dur (jusqu'a aujourd'hui sa fonctionne). Cette fois si c'est sur un autre ordi et les effets sont exactement les mêmes. Je cherche donc une meilleure solution que de changer de disque dur...
merci d'avance de votre aide

philae83 · Answer

bonsoir,

il te faut désactiver le service d'affichage des messages

Désactive le service d'affichage des messages :
Démarrer --> Exécuter --> tape services.msc puis Entrée
Dans la liste, cherche la ligne "Affichage des messages" puis double-clique dessus.
Règle le "type de démarrage" sur "Désactiver"
Pour le statut du service, clique sur le bouton Arrêter
puis clique sur Appliquer.

et apprendre à sécuriser ton pc

https://forum.pcastuces.com/default.asp ICI]

guigogu · Answer

J'ai déjà essayer de supprimer cette option mais même si le message n'apparaissait plus l'ordinateur a redemarré tout seul et après le redémarrage je ne pouvais plus aller sur internet.

philae83 · Answer

bonjour,

l'affichage des messages n'a rien à voir avec le fait d'accéder ou non à internet. tu as peut être fait qq chose de plus.
Tu es peut être infecté aussi.

Désactive le service d'affichage des messages et poste un rapport hijackthis stp
* Télécharge  HijackThis  et poste le rapport stp
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

* Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici

------

Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image (merci balltrap)
demo hijackenregistrement http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

guigogu · Answer

tout d'abord merci de votre aide
alors j'ai désactiver l'affichage des messages et j'ai fait le rapport que je vous envoie 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04:51, on 06/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\busimtt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\gtiek.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\gtiek.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

philae83 · Answer

bonsoir,

le rapport n'est pas complet, mais il n'est pas franchement clean
reposte en un (en entier stp) jusqu'aux lignes 023
merci
@ + tard

cgui33 · Answer

Salut 

ça, si tu connais pas c'est pas normal !!!

C:\WINDOWS\System32\busimtt.exe 
C:\WINDOWS\System32\gtiek.exe 

Ensuite tu peux renomer HijackThis.exe en azerty.exe avant de le lancer !
A+

guigogu · Answer

bonsoir,
j'ai renommé Hijackthis.exe en azerty. exe puis j'ai fait de nouveau le scan. Il y a la ligne 23 ce coup-ci mais sa reste cours! J'espère quand même que sa peut aider 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:58, on 06/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\gtiek.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32undll32.exe
C:\Program Files\Trend Micro\HijackThis\azerty.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7DF75FDD-D61D-49DF-BAD8-EC64BE6D9CC9} - C:\WINDOWS\System32
nnon.dll
O2 - BHO: (no name) - {9B4868E3-767E-4A1C-A792-3CC451BA8CAC} - C:\WINDOWS\System32\xxywwwx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\gtiek.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

guigogu · Answer

je n'ai fait que renommer Hijackthis, je le laisse en azerty ou pas?

philae83 · Answer

re bonisoir  

soit tu suis ce que je te demande, soit tu suis ce que l'autre te demande. Pas 50 000 possibilités.
je ne t'ai pas demandé de renommer quoique ce soit, juste de poster un rapport complet.

cette fois ci tu es certain que le rapport est entier ? étrange, c'est plutôt rare de les voir si petits.
D'ailleurs où est ton ANTIVIRUS, ton PAREFEU ?

sans compter que tu n'es pas à jour au niveau de ton système d'exploitation....

ensuite

* Télécharge VundoFix.exe (par Atribune) sur ton Bureau

http://www.atribune.org/ccount/click.php?id=4

 * Double-clique VundoFix.exe afin de le lancer

* Clique sur le bouton Scan for Vundo

* Lorsque le scan est complété, clique sur le bouton Remove Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

 
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

philae83 · Answer

maintenant oui ca sert à rien de rechanger qq chose.

passe à la suite stp

guigogu · Answer

tout d'abord c'est vrai que j'aurais du être moins naif dans ma démarche donc je ne suis qu'un avis. 
Sinon je vien juste de réinstaller windows ( XP familiale) avec le cd ke javai donc je n'ai aucun programme ce qui expliquerai qu'il est vide et pas mis à jour ( sans antivirus ni parefeu puisque je n'aie pas le temps de les installer sur l'ordi)
je vais donc effectuer la démarche que vous décrivez et vous aurez de mes nouvelles d'ici 10 minutes (j' écrit d'un autre ordi donc c'est long à chaque fois).
merci

philae83 · Answer

re
ok, ceci explique cela
pour le fait que ni antivirus ni parefeu, cela explique aussi que tu sois déjà infecté !

j'ai donc oublié de te dire d'installer DE SUITE antiivus et parefeu

guigogu · Answer

je suis en train d'installer un antivirus et un pare feu 
après je ferais la manip avec vundo

cgui33 · Answer

Salut Philae83

Pas de problème ... je te laisses avec ce topic !
Je reviendrais voir ... pour apprendre et noter les conseils que tu prodigues !

A+

philae83 · Answer

ok, je suis présente un bon moment encore

cgui33 · Answer

Re ...  Philae83 
Je m'en doute ! 
Renommer ...  c'était pour faire apparaitre les lignes 02 et 020 

A toi de jouer maintenant avec Vundo et peut-être ... ComboFix !
A+

guigogu · Answer

c'est un peu galère mai j'ai installé antivir et comodo puis vundo. 
J'essaie de transférer les 2 rapports sur l'autre ordi pour les envoyer

guigogu · Answer

voila le rapport vundo
VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 20:43:16 06/12/2007

Listing files found while scanning....


VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 21:09:12 06/12/2007

Listing files found while scanning....

C:\windows\system32
nnon.dll
C:\windows\system32
onnn.ini
C:\windows\system32
onnn.ini2

Beginning removal...

 Attempting to delete C:\windows\system32
nnon.dll
C:\windows\system32
nnon.dll Has been deleted!

 Attempting to delete C:\windows\system32
onnn.ini
C:\windows\system32
onnn.ini Has been deleted!

 Attempting to delete C:\windows\system32
onnn.ini2
C:\windows\system32
onnn.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

guigogu · Answer

...et le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:29, on 06/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\hwge.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32undll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Trend Micro\HijackThis\azerty.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {9B4868E3-767E-4A1C-A792-3CC451BA8CAC} - C:\WINDOWS\System32\xxywwwx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\hwge.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

philae83 · Answer

re

ok merci

* Relance Vundofix
 * Ne clique pas sur "Scan for a vundo"
 * Clique droit au milieu de la fenêtre
 * Clique sur Add more files ?
 * Copie/colle le fichier ci-dessous  :

C:\WINDOWS\System32\xxywwwx.dll 

* Clique sur Add files
 * Ensuite clique sur Close Windows
 * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
 * Si l'outils demande un redémarrage, accepte
 * Poste le rapport Vundofix, 

puis

* O2 - BHO: (no name) - {9B4868E3-767E-4A1C-A792-3CC451BA8CAC} - C:\WINDOWS\System32\xxywwwx.dll 
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\hwge.exe 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: xxywwwx - C:\WINDOWS\SYSTEM32\xxywwwx.dll 

* toutes applications fermées et HORS CONNEXION, clique sur fix checked

puis

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\web\related.htm
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\hwge.exe 

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

reposte un nouveau rapport hijackthis également

guigogu · Answer

j'espère que tous c'est bien déroulé, voici les rapports :

VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 20:43:16 06/12/2007

Listing files found while scanning....


VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 21:09:12 06/12/2007

Listing files found while scanning....

C:\windows\system32
nnon.dll
C:\windows\system32
onnn.ini
C:\windows\system32
onnn.ini2

Beginning removal...

 Attempting to delete C:\windows\system32
nnon.dll
C:\windows\system32
nnon.dll Has been deleted!

 Attempting to delete C:\windows\system32
onnn.ini
C:\windows\system32
onnn.ini Has been deleted!

 Attempting to delete C:\windows\system32
onnn.ini2
C:\windows\system32
onnn.ini2 Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\System32\xxywwwx.dll
C:\WINDOWS\System32\xxywwwx.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\System32\xxywwwx.dll
C:\WINDOWS\System32\xxywwwx.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.7.0

Checking Java version...

Sun Java not detected
Scan started at 22:45:43 06/12/2007

Listing files found while scanning....

de vundo

guigogu · Answer

puis de OTMoveIt :

C:\WINDOWS\web\related.htm moved successfully.
File move failed. C:\WINDOWS\System32\winamp.exe scheduled to be moved on reboot.
C:\WINDOWS\System32\hwge.exe moved successfully.
 
Created on 12/06/2007 22:55:16

guigogu · Answer

et enfin de Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:58:53, on 06/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\iqfdrs.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32undll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Trend Micro\HijackThis\azerty.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {73F24B2F-4F7A-4BC2-A685-0333C49D1042} - C:\WINDOWS\System32\fccdeee.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\iqfdrs.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm (file missing)
O20 - Winlogon Notify: fccdeee - C:\WINDOWS\SYSTEM32\fccdeee.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

philae83 · Answer

non cela n'est pas bon

on poursuit

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT

*désactive ton antivirus, antispyware, et spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite
puis

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

et un nouveau rapport hiajckthis également

guigogu · Answer

voila les 2 rapports

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vkquwexg

*******************

Script file located at: \??\C:\ComboFix\ComboDel.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\fccdeee.dll not found!
File move operation C:\WINDOWS\system32\fccdeee.dll|C:\QooBox\Quarantine\C\WINDOWS\system32\fccdeee.dll.vir failed!

Could not process line:
C:\WINDOWS\system32\fccdeee.dll|C:\QooBox\Quarantine\C\WINDOWS\system32\fccdeee.dll.vir
Status: 0xc0000034



File C:\WINDOWS\system32\hgdaa.dll not found!
File move operation C:\WINDOWS\system32\hgdaa.dll|C:\QooBox\Quarantine\C\WINDOWS\system32\hgdaa.dll.vir failed!

Could not process line:
C:\WINDOWS\system32\hgdaa.dll|C:\QooBox\Quarantine\C\WINDOWS\system32\hgdaa.dll.vir
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

le rapport se situe dans un fichier qui se nomme avenger et non pas combofix !

guigogu · Answer

et le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26, on 2007-12-07
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\iqfdrs.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32undll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Trend Micro\HijackThis\azerty.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {73F24B2F-4F7A-4BC2-A685-0333C49D1042} - C:\WINDOWS\system32\fccdeee.dll (file missing)
O2 - BHO: (no name) - {E3ABF152-A581-420F-A91E-BD0522B3102C} - C:\WINDOWS\System32\hgdaa.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\iqfdrs.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [combofix] "C:\WINDOWS\system32\cmd.exe" /c "cd /d C:\ComboFix\ & Combobatch.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm (file missing)
O20 - Winlogon Notify: fccdeee - fccdeee.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

philae83 · Answer

bonsoir

le rapport se situe dans un fichier qui se nomme avenger et non pas combofix !

formidable, sauf que je t'ai demandé d'utiliser combofix MOI
qui t'a fait utiliser the avenger ?
je croyais avoir été explicite au début du sujet non ?

guigogu · Answer

bonsoir
jai utilisé combofix je l'ai telechargé depuis le lien que vous m'avez donner le programme s'appelait combofix mais LE RAPPORT s'appelait avenger 
je voulais juste le noter parceque sa me paraissait bizare mais après avoir vérifié le programme était bien combofix
de plus j'estime que vous pourriez faire preuve d'un peu plus de respect envers moi et de ne pas m'engueuler parceque je n'ai pas fait ce que votre, je cite: " MOI " disait, puisque j'ai scrupuleuseument suivi votre méthode sans avis extérieur.
en espérant que cela ne vous refoidisse pas pour m'aider 
merci

philae83 · Answer

RE

 un rapport de combo commence comme ceci
et non comme celui posté.

ComboFix 07-12-02.6 - Miloud- 2007-12-05 10:16:22.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.188 [GMT 1:00]
Running from: C:\Documents and Settings\Miloud-\Bureau\ComboFix.exe 

the avenger est de  by Swandog46 
combofix de  sUBs

donc sincèrement, y a forcément quelque chose qui cloche. Regarde dans ton pc, mais tu n'as pas utilisé combofix.

cgui33 · Answer

Tràs explicite !
Mais .. faudrait pas perdre son sang froid !
ça avance .. et je ne fais QUE suivre !
A+

guigogu · Answer

j'ai réussi a faire le compte rendu combofix ( le bon ce coup-ci)  avec le même programme donc je ne comprends pas pourquoi la première fois...   mais bon l'essentiel c'est que maintenant on l'a donc je l'envoie.

philae83 · Answer

poste le rapport de combofix alors, mais je ne suis pas certaine de l'analyser ce soir.

au pire ce sera demain dans la journée.

guigogu · Answer

voila les 2 rapports je ne vous en voudrait absolument pas de ne pas vous en occuper ce soir car votre aide fut déjà grande combofix : ComboFix 07-12-07.3 - famille soutenet 2007-12-07 21:58:46.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.112 [GMT 1:00] Running from: C:\Documents and Settings\famille soutenet\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\system32\aadgh.ini C:\WINDOWS\system32\aadgh.ini2 C:\WINDOWS\system32\awtqoll.dll C:\WINDOWS\system32\awtrolk.dll C:\WINDOWS\system32\byxvttq.dll C:\WINDOWS\system32\byxvvus.dll C:\WINDOWS\system32\byxyaww.dll C:\WINDOWS\system32\efcayyv.dll C:\WINDOWS\system32\efcyyvw.dll C:\WINDOWS\system32\fccdeee.dll C:\WINDOWS\system32\gebaawu.dll C:\WINDOWS\system32\hgdaa.dll C:\WINDOWS\system32\hggecdb.dll C:\WINDOWS\system32\illwrrnf.dll C:\WINDOWS\system32\mljjgeb.dll C:\WINDOWS\system32 nnkhhh.dll C:\WINDOWS\system32 nnmkhg.dll C:\WINDOWS\system32\pefpdvds.ini C:\WINDOWS\system32\qommkkj.dll C:\WINDOWS\system32\qommmmk.dll C:\WINDOWS\system32 qropqo.dll C:\WINDOWS\system32\sdvdpfep.dll C:\WINDOWS\system32\ssqnmnk.dll C:\WINDOWS\system32 uvwuvv.dll C:\WINDOWS\system32\vturpom.dll C:\WINDOWS\system32\wvurqpp.dll C:\WINDOWS\system32\wvuvsrq.dll C:\WINDOWS\system32\xxywwwx.dll C:\WINDOWS\system32\xxyxyya.dll C:\WINDOWS\system32\yayyawv.dll C:\WINDOWS\system32\yayywxw.dll D:\Autorun.inf . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-07 to 2007-12-07 )))))))))))))))))))))))))))))))))))) . 2007-12-06 22:46 . 2007-12-06 22:46 32,456 --a------ C:\WINDOWS\system32\iqfdrs.exe 2007-12-06 22:29 . 2007-12-06 22:29 66,048 --------- C:\WINDOWS\system32\htnfcq.exe 2007-12-06 22:29 . 2007-12-06 22:29 62,464 --------- C:\WINDOWS\system32 rapt.exe 2007-12-06 22:29 . 2007-12-06 22:29 32,456 --a------ C:\WINDOWS\system32\llphb.exe 2007-12-06 22:25 . 2007-12-06 22:25 32,456 --a------ C:\WINDOWS\system32\kqvk.exe 2007-12-06 22:06 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll 2007-12-06 22:06 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll 2007-12-06 21:06 . 2007-12-06 21:06 d-------- C:\Documents and Settings\famille soutenet\Application Data\Comodo 2007-12-06 21:05 . 2007-12-06 21:05 d-------- C:\Documents and Settings\All Users\Application Data\Comodo 2007-12-06 21:05 . 2007-12-06 21:05 62,464 --------- C:\WINDOWS\system32\ekhtw.exe 2007-12-06 21:05 . 2007-12-06 21:05 32,456 --a------ C:\WINDOWS\system32\skxh.exe 2007-12-06 21:04 . 2007-12-07 21:57 d-------- C:\Program Files\Comodo 2007-12-06 20:53 . 2007-12-06 20:54 d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic 2007-12-06 20:43 . 2007-12-06 22:44 d-------- C:\VundoFix Backups 2007-12-06 19:22 . 2007-12-06 19:22 62,464 --------- C:\WINDOWS\system32\awgdpln.exe 2007-12-06 19:22 . 2007-12-06 19:22 32,456 --a------ C:\WINDOWS\system32\yxxlklb.exe 2007-12-06 19:17 . 2007-12-06 19:19 d-------- C:\WINDOWS view 2007-12-06 19:14 . 2007-12-06 19:14 d-------- C:\Program Files\VIA Technologies, Inc 2007-12-06 19:14 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe 2007-12-06 19:14 . 2002-10-24 14:25 45,056 --a------ C:\WINDOWS\system32\vusetup.dll 2007-12-06 19:14 . 2002-11-13 10:34 10,496 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys 2007-12-06 19:14 . 2002-10-24 09:07 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys 2007-12-06 19:13 . 2007-12-06 19:13 d-------- C:\Program Files\Realtek Sound Manager 2007-12-06 19:13 . 2007-12-06 19:13 d-------- C:\Program Files\AvRack 2007-12-06 19:13 . 2007-12-06 19:13 d-------- C:\Documents and Settings\famille soutenet\WINDOWS 2007-12-06 19:13 . 2002-11-13 06:16 1,425,408 --------- C:\WINDOWS\system32\alsndmgr.cpl 2007-12-06 19:13 . 2002-11-13 08:56 953,708 --------- C:\WINDOWS\system32\drivers\alcxwdm.sys 2007-12-06 19:13 . 2002-10-21 06:33 208,896 --------- C:\WINDOWS\alcupd.exe 2007-12-06 19:13 . 2002-02-05 06:54 141,016 --------- C:\WINDOWS\system32\alsndmgr.wav 2007-12-06 19:13 . 2002-10-17 05:54 131,072 --------- C:\WINDOWS\alcrmv.exe 2007-12-06 19:13 . 2002-10-16 11:24 47,104 --------- C:\WINDOWS\soundman.exe 2007-12-06 19:13 . 2002-05-15 07:29 6,016 -ra------ C:\WINDOWS\system32 tsim.sys 2007-12-06 19:13 . 2001-07-05 17:19 164 --------- C:\WINDOWS\avrack.ini 2007-12-06 16:03 . 2007-12-06 16:03 d-------- C:\Program Files\Trend Micro 2007-12-06 16:02 . 2007-12-06 16:02 32,456 --a------ C:\WINDOWS\system32\gtiek.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-06 18:13 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-05 21:17 32,456 ----a-w C:\WINDOWS\system32\busimtt.exe 2007-12-05 21:14 --------- d-----w C:\Program Files\USB Driver-Express 2007-12-05 21:14 --------- d-----w C:\Program Files\Kit ADSL 2007-12-05 21:14 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-12-05 20:53 --------- d-----w C:\Program Files\microsoft frontpage 2007-12-05 20:52 --------- d-----w C:\Program Files\Services en ligne 2007-12-05 20:51 --------- d-----w C:\Program Files\Fichiers communs\MSSoap 2007-12-05 20:45 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines 2007-12-05 20:45 --------- d-----w C:\Program Files\Fichiers communs\ODBC . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3ABF152-A581-420F-A91E-BD0522B3102C}] C:\WINDOWS\System32\hgdaa.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-24 13:00] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08] "NvMediaCenter"="RUNDLL32.exe" [2003-04-24 13:00 C:\WINDOWS\system32 undll32.exe] "NVIEW"="nview.dll" [2003-04-03 00:40 C:\WINDOWS\system32 view.dll] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Advanced DHTML Enable"="C:\WINDOWS\System32\iqfdrs.exe" [2007-12-06 22:46] "NvCplDaemon"="RUNDLL32.exe" [2003-04-24 13:00 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2003-04-03 00:40 C:\WINDOWS\system32 wiz.exe] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 13:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\fccdeee] fccdeee.dll R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys R3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\System32\DRIVERS\usbiad.sys . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-07 21:59:28 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-07 21:59:56 . --- E O F ---

guigogu · Answer

et le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:57, on 07/12/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\iqfdrs.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32undll32.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Trend Micro\HijackThis\azerty.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\iqfdrs.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

philae83 · Answer

en survolant le rapport, il y a encore du boulot. Je vais te demander un nouveau rapport hijackthis après le passage donc de combofix et je pourrais regarder demain après midi tout ça pour la suite à te donner

philae83 · Answer

bonsoir,

voilà la suite pour le moment.

* lance hijackthis "do a system scan only" puis coche ces lignes : 

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\iqfdrs.exe 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm (file missing) 

toutes applications fermées et HORS CONNEXION, clique sur FIX CHECKED

puis

Sélectionne le texte suivant :

File::
C:\WINDOWS\system32\iqfdrs.exe
C:\WINDOWS\system32\htnfcq.exe
C:\WINDOWS\system32
rapt.exe
C:\WINDOWS\system32\llphb.exe
C:\WINDOWS\system32\kqvk.exe 
C:\WINDOWS\system32\ekhtw.exe 
C:\WINDOWS\system32\skxh.exe 
C:\WINDOWS\system32\awgdpln.exe 
C:\WINDOWS\system32\yxxlklb.exe 
C:\WINDOWS\system32\vusetup.dll 
C:\WINDOWS\system32\gtiek.exe 
C:\WINDOWS\system32\busimtt.exe 

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3ABF152-A581-420F-A91E-BD0522B3102C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Advanced DHTML Enable"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\fccdeee]

# Copie le texte sélectionné (CTRL+C).
# Ouvre le bloc-note (programme>Accessoire>bloc-note).
# Colle le texte copié dans ce bloc-note (CTRL+V).
# Sauvegarde ce fichier sous le nom de CFScript.txt
# Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe 

# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

puis

tu te rendras sur VIRUS TOTAL 
http://www.virustotal.com/en/indexf.html
pour faire analyser ce fichier

C:\WINDOWS\avrack.ini 
affiche les fichiers et dossiers cachés pour le trouver stp.
tu posteras le rapport de virus total ici ensuite 

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver  la case : Masquer les fichier protégés du système d'exploitation

Puis  - Appliquer

reviens avec les rapports demandés + un nouveau rapport hijackthis stp

guigogu · Answer

j'ai fait l'opération avec combofix et j'ai el rapport mais après sa bloque je ne peut pas aller sur internet avec l'ordinateur infecté; je viens de réessayer mais non voila quand même le rapport combofix : ComboFix 07-12-07.3 - famille soutenet 2007-12-07 21:58:46.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.112 [GMT 1:00] Running from: C:\Documents and Settings\famille soutenet\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\system32\aadgh.ini C:\WINDOWS\system32\aadgh.ini2 C:\WINDOWS\system32\awtqoll.dll C:\WINDOWS\system32\awtrolk.dll C:\WINDOWS\system32\byxvttq.dll C:\WINDOWS\system32\byxvvus.dll C:\WINDOWS\system32\byxyaww.dll C:\WINDOWS\system32\efcayyv.dll C:\WINDOWS\system32\efcyyvw.dll C:\WINDOWS\system32\fccdeee.dll C:\WINDOWS\system32\gebaawu.dll C:\WINDOWS\system32\hgdaa.dll C:\WINDOWS\system32\hggecdb.dll C:\WINDOWS\system32\illwrrnf.dll C:\WINDOWS\system32\mljjgeb.dll C:\WINDOWS\system32 nnkhhh.dll C:\WINDOWS\system32 nnmkhg.dll C:\WINDOWS\system32\pefpdvds.ini C:\WINDOWS\system32\qommkkj.dll C:\WINDOWS\system32\qommmmk.dll C:\WINDOWS\system32 qropqo.dll C:\WINDOWS\system32\sdvdpfep.dll C:\WINDOWS\system32\ssqnmnk.dll C:\WINDOWS\system32 uvwuvv.dll C:\WINDOWS\system32\vturpom.dll C:\WINDOWS\system32\wvurqpp.dll C:\WINDOWS\system32\wvuvsrq.dll C:\WINDOWS\system32\xxywwwx.dll C:\WINDOWS\system32\xxyxyya.dll C:\WINDOWS\system32\yayyawv.dll C:\WINDOWS\system32\yayywxw.dll D:\Autorun.inf . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-07 to 2007-12-07 )))))))))))))))))))))))))))))))))))) . 2007-12-06 22:46 . 2007-12-06 22:46 32,456 --a------ C:\WINDOWS\system32\iqfdrs.exe 2007-12-06 22:29 . 2007-12-06 22:29 66,048 --------- C:\WINDOWS\system32\htnfcq.exe 2007-12-06 22:29 . 2007-12-06 22:29 62,464 --------- C:\WINDOWS\system32 rapt.exe 2007-12-06 22:29 . 2007-12-06 22:29 32,456 --a------ C:\WINDOWS\system32\llphb.exe 2007-12-06 22:25 . 2007-12-06 22:25 32,456 --a------ C:\WINDOWS\system32\kqvk.exe 2007-12-06 22:06 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll 2007-12-06 22:06 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll 2007-12-06 21:06 . 2007-12-06 21:06 d-------- C:\Documents and Settings\famille soutenet\Application Data\Comodo 2007-12-06 21:05 . 2007-12-06 21:05 d-------- C:\Documents and Settings\All Users\Application Data\Comodo 2007-12-06 21:05 . 2007-12-06 21:05 62,464 --------- C:\WINDOWS\system32\ekhtw.exe 2007-12-06 21:05 . 2007-12-06 21:05 32,456 --a------ C:\WINDOWS\system32\skxh.exe 2007-12-06 21:04 . 2007-12-07 21:57 d-------- C:\Program Files\Comodo 2007-12-06 20:53 . 2007-12-06 20:54 d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic 2007-12-06 20:43 . 2007-12-06 22:44 d-------- C:\VundoFix Backups 2007-12-06 19:22 . 2007-12-06 19:22 62,464 --------- C:\WINDOWS\system32\awgdpln.exe 2007-12-06 19:22 . 2007-12-06 19:22 32,456 --a------ C:\WINDOWS\system32\yxxlklb.exe 2007-12-06 19:17 . 2007-12-06 19:19 d-------- C:\WINDOWS view 2007-12-06 19:14 . 2007-12-06 19:14 d-------- C:\Program Files\VIA Technologies, Inc 2007-12-06 19:14 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe 2007-12-06 19:14 . 2002-10-24 14:25 45,056 --a------ C:\WINDOWS\system32\vusetup.dll 2007-12-06 19:14 . 2002-11-13 10:34 10,496 --a------ C:\WINDOWS\system32\drivers\vulfntr.sys 2007-12-06 19:14 . 2002-10-24 09:07 6,912 --a------ C:\WINDOWS\system32\drivers\vulfnth.sys 2007-12-06 19:13 . 2007-12-06 19:13 d-------- C:\Program Files\Realtek Sound Manager 2007-12-06 19:13 . 2007-12-06 19:13 d-------- C:\Program Files\AvRack 2007-12-06 19:13 . 2007-12-06 19:13 d-------- C:\Documents and Settings\famille soutenet\WINDOWS 2007-12-06 19:13 . 2002-11-13 06:16 1,425,408 --------- C:\WINDOWS\system32\alsndmgr.cpl 2007-12-06 19:13 . 2002-11-13 08:56 953,708 --------- C:\WINDOWS\system32\drivers\alcxwdm.sys 2007-12-06 19:13 . 2002-10-21 06:33 208,896 --------- C:\WINDOWS\alcupd.exe 2007-12-06 19:13 . 2002-02-05 06:54 141,016 --------- C:\WINDOWS\system32\alsndmgr.wav 2007-12-06 19:13 . 2002-10-17 05:54 131,072 --------- C:\WINDOWS\alcrmv.exe 2007-12-06 19:13 . 2002-10-16 11:24 47,104 --------- C:\WINDOWS\soundman.exe 2007-12-06 19:13 . 2002-05-15 07:29 6,016 -ra------ C:\WINDOWS\system32 tsim.sys 2007-12-06 19:13 . 2001-07-05 17:19 164 --------- C:\WINDOWS\avrack.ini 2007-12-06 16:03 . 2007-12-06 16:03 d-------- C:\Program Files\Trend Micro 2007-12-06 16:02 . 2007-12-06 16:02 32,456 --a------ C:\WINDOWS\system32\gtiek.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-06 18:13 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-05 21:17 32,456 ----a-w C:\WINDOWS\system32\busimtt.exe 2007-12-05 21:14 --------- d-----w C:\Program Files\USB Driver-Express 2007-12-05 21:14 --------- d-----w C:\Program Files\Kit ADSL 2007-12-05 21:14 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-12-05 20:53 --------- d-----w C:\Program Files\microsoft frontpage 2007-12-05 20:52 --------- d-----w C:\Program Files\Services en ligne 2007-12-05 20:51 --------- d-----w C:\Program Files\Fichiers communs\MSSoap 2007-12-05 20:45 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines 2007-12-05 20:45 --------- d-----w C:\Program Files\Fichiers communs\ODBC . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3ABF152-A581-420F-A91E-BD0522B3102C}] C:\WINDOWS\System32\hgdaa.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-24 13:00] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08] "NvMediaCenter"="RUNDLL32.exe" [2003-04-24 13:00 C:\WINDOWS\system32 undll32.exe] "NVIEW"="nview.dll" [2003-04-03 00:40 C:\WINDOWS\system32 view.dll] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Advanced DHTML Enable"="C:\WINDOWS\System32\iqfdrs.exe" [2007-12-06 22:46] "NvCplDaemon"="RUNDLL32.exe" [2003-04-24 13:00 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2003-04-03 00:40 C:\WINDOWS\system32 wiz.exe] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 13:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\fccdeee] fccdeee.dll R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys R3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\System32\DRIVERS\usbiad.sys . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-07 21:59:28 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-07 21:59:56 . --- E O F ---

philae83 · Answer

re

je ne peut pas aller sur internet avec l'ordinateur infecté; je viens de réessayer mais non

je n'ai pas compris exactement le sens de ta phrase ...

Télécharge SREng (par Smallfrogs) de ce lien:

Extrais tout son contenu sur ton Bureau
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil
Clique sur Smart Scan
Ensuite, clique sur le bouton [Scan]

Lorsque complété, clique sur le bouton [Save Reports]
Sauvegarde le rapport sur ton Bureau
Copie/colle le contenu du fichier SREnglLOG.log dans ta prochaine réponse, s'il te plaît.

et reposte un nouveau rapport hijackthis stp

Virus récurrent

38 réponses

Discussions similaires