Sujet Précédent Sujet Suivant

Aidez moi à débusquer ce Cheval de troie

Fermé
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 - 14 déc. 2007 à 21:35
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 - 19 déc. 2007 à 10:53
Bonjour,
je voulais savoir si scprot4.exe était un exécutable nuisible, car zone alarm me le détecte.

j'ai récemment téléchargé récemment un crack qui se trouvait etre un cheval de troie Win32:Obfuscated.BUP(trj), ainsi que Win32:Alphabet-D(trj) et Win32:Adloader-JX(trj) tous décelés par Avast.

Meme mon Security Center de windows me dit que j'ai un malware, trojan ou autres et me propose un scann.
J'ai eu deux fois ma barre des taches qui a disparu avec tout ce qui se trouvait sur mon bureau.

Voici un rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:21, on 14.12.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\USBPlug.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\SecCenter\scprot4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\SecCenter\scprot4.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://directory.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [dscService] C:\WINDOWS\System32\USBPlug.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [inwdcrwb] rundll32.exe "C:\Program Files\inwdcrwb\kvcdyhih.dll",Init
O4 - HKLM\..\Run: [SC2] C:\Program Files\SecCenter\scprot4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD229BD-F9DA-4BE4-87F4-4C5060DFA787}: NameServer = 194.230.1.103 194.230.1.39
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

16 réponses

Réponse 1 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
15 déc. 2007 à 11:33
allé un coup de main svp
1
Réponse 2 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
14 déc. 2007 à 22:51
up up up??
0
Réponse 3 / 16
Utilisateur anonyme
15 déc. 2007 à 18:06
Bonjour

Qu'as-tu comme anti-spyware ?


Fais ceci

Télécharge ComboScan sur ton Bureau.
---> http://deckard.geekstogo.com/dss.exe

Ferme toutes les applications en cours ; antivirus, pare-feu, etc ..
Double-clic sur comboscan.exe A la fenêtre qui s'affiche, clic sur OK.
Soit patient ..
Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.
0
Réponse 4 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
15 déc. 2007 à 19:27
Bonjour, merci de me répondre.
Comme programmes j'utilise Avast comme antivirus, zone alarm comme firewall et CCleaner pour le reste. J'utilisais ad-aware et a-squared, mais je plante pendant les scans. Je précise que je n'ai pas SP2

voici le rapport que tu m'as demandé avec ton programme:


Deckard's System Scanner v20071014.68
Run by Ian on 2007-12-15 19:23:24
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]System Drive C: has 13.7 GiB (less than 15%) free.[/color]


-- HijackThis (run as Ian.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:25, on 15.12.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\ttcfrgfd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Ian\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Ian.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://directory.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7555906D-70F1-4FD6-8250-4FBE75252F58} - C:\WINDOWS\System32\qommkjj.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FAB546AC-379E-4BB2-8997-4478B1774988} - C:\WINDOWS\System32\ddaby.dll
O2 - BHO: {238b6b5b-662b-354a-0f04-c37e99f74aef} - {fea47f99-e73c-40f0-a453-b266b5b6b832} - C:\WINDOWS\System32\rcygerwt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [dscService] C:\WINDOWS\System32\USBPlug.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [inwdcrwb] rundll32.exe "C:\Program Files\inwdcrwb\kvcdyhih.dll",Init
O4 - HKLM\..\Run: [SC2] C:\Program Files\SecCenter\scprot4.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD229BD-F9DA-4BE4-87F4-4C5060DFA787}: NameServer = 194.230.1.71 194.230.1.39
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: qommkjj - C:\WINDOWS\SYSTEM32\qommkjj.dll
O20 - Winlogon Notify: winjcr32 - C:\WINDOWS\SYSTEM32\winjcr32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: DomainService - - C:\WINDOWS\System32\ttcfrgfd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Utilisateur anonyme
16 déc. 2007 à 04:15
* Commence par vérifier que ton ZoneAlarm ne contienne rien d'inconnu à tes yeux si tel est le cas, supprime la ligne cela ne peut pas causer de problème.



* Ensuite, fais un clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle la sur "désactivé"

- DomainService



* Télécharge OTMoveIt sur ton bureau
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clic sur OTMoveIt.exe
Sélectionne et copie les lignes ci-dessous

C:\Program Files\SecCenter\scprot4.exe
C:\WINDOWS\System32\ntos.exe
C:\WINDOWS\System32\qommkjj.dll
C:\WINDOWS\System32\ddaby.dll
C:\WINDOWS\System32\rcygerwt.dll
C:\WINDOWS\SYSTEM32\winjcr32.dll
C:\WINDOWS\System32\ttcfrgfd.exe
C:\WINDOWS\System32\swmimccy.dll
C:\WINDOWS\System32\juvprpba
C:\Program Files\SecCenter
C:\Program Files\Prdapilf
C:\WINDOWS\System32\ybadd.ini2
C:\WINDOWS\System32\ddaby.dll
C:\WINDOWS\System32\qommkjj.dll
C:\Program Files\inwdcrwb
C:\WINDOWS\System32\winjcr32.dll
C:\WINDOWS\System32\5A76A5B346.sys

Retourne dans OTMoveit, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
Clic sur le boutton rouge Moveit et ferme OTMoveIt
Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir l'exécution, si c'est le cas, clic sur "Yes"
Copie et colle le rapport qu'il va te générer ici stp. Le rapport d'OTMoveit se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles



* Fais ces deux manipulations :

Télécharge VundoFix
---> http://www.atribune.org/ccount/click.php?id=4

Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu..

double clic dessus choisis "start for vundo"
attends quelques minutes, quand le scan est terminé clic sur "remove vundo"
un message te demandera si tu veux supprimes les fichiers sur "yes"
Quand il a terminé, clic sur "yes" ton ordinateur devrait redemarrer sinon, fais le par toit même
Une fois qu'il a redemarré colle ici le rapport C:\vundofix.txt

ET

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse, donc ici.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.



* Fais ce scan anti-virus en ligne et colle le rapport au format texte ici une fois qu'il a terminé.
Toutes les infos sont sur le lien ci-dessous
----> https://kerio.probb.fr/t673-bitdefender-antivirus-en-ligne

A++ ;-)
0
Réponse 6 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
16 déc. 2007 à 12:50
Bonjour, j'ai donc commencé par le programme OTMoveIt. Voici le rapport :

C:\Program Files\SecCenter\scprot4.exe moved successfully.
File move failed. C:\WINDOWS\System32\ntos.exe scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\qommkjj.dll
C:\WINDOWS\System32\qommkjj.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\qommkjj.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\ddaby.dll
C:\WINDOWS\System32\ddaby.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\ddaby.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\rcygerwt.dll
C:\WINDOWS\System32\rcygerwt.dll NOT unregistered.
C:\WINDOWS\System32\rcygerwt.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\winjcr32.dll
C:\WINDOWS\SYSTEM32\winjcr32.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\winjcr32.dll moved successfully.
C:\WINDOWS\System32\ttcfrgfd.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\swmimccy.dll
C:\WINDOWS\System32\swmimccy.dll NOT unregistered.
C:\WINDOWS\System32\swmimccy.dll moved successfully.
C:\WINDOWS\System32\juvprpba moved successfully.
C:\Program Files\SecCenter moved successfully.
C:\Program Files\Prdapilf moved successfully.
C:\WINDOWS\System32\ybadd.ini2 moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\ddaby.dll
C:\WINDOWS\System32\ddaby.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\ddaby.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\qommkjj.dll
C:\WINDOWS\System32\qommkjj.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\qommkjj.dll scheduled to be moved on reboot.
C:\Program Files\inwdcrwb moved successfully.
File/Folder C:\WINDOWS\System32\winjcr32.dll not found.
C:\WINDOWS\System32\5A76A5B346.sys moved successfully.

Created on 12.16.2007 11:03:23



J'ai ensuite utilisé le programme VundoFix, malheureusement j'ai planté par deux fois et je n'ai donc pas pu supprimer les quelques infections.


Ensuite le programme VirtumundoBegone. Voici le rapport :

[12/16/2007, 11:47:05] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Ian\Bureau\VirtumundoBeGone.exe" )
[12/16/2007, 11:47:13] - Detected System Information:
[12/16/2007, 11:47:13] - Windows Version: 5.1.2600,
[12/16/2007, 11:47:13] - Current Username: Ian (Admin)
[12/16/2007, 11:47:14] - Windows is in NORMAL mode.
[12/16/2007, 11:47:14] - Searching for Browser Helper Objects:
[12/16/2007, 11:47:14] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/16/2007, 11:47:14] - BHO 2: {7555906D-70F1-4FD6-8250-4FBE75252F58} ()
[12/16/2007, 11:47:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/16/2007, 11:47:14] - Checking for HKLM\...\Winlogon\Notify\qommkjj
[12/16/2007, 11:47:14] - Found: HKLM\...\Winlogon\Notify\qommkjj - This is probably Virtumundo.
[12/16/2007, 11:47:14] - Assigning {7555906D-70F1-4FD6-8250-4FBE75252F58} MSEvents Object
[12/16/2007, 11:47:14] - BHO list has been changed! Starting over...
[12/16/2007, 11:47:14] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/16/2007, 11:47:14] - BHO 2: {7555906D-70F1-4FD6-8250-4FBE75252F58} (MSEvents Object)
[12/16/2007, 11:47:14] - ALERT: Found MSEvents Object!
[12/16/2007, 11:47:14] - BHO 3: {75E3DC0E-E5F7-4ED3-8828-F432F001E9D3} ()
[12/16/2007, 11:47:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/16/2007, 11:47:14] - Checking for HKLM\...\Winlogon\Notify\ddaby
[12/16/2007, 11:47:14] - Key not found: HKLM\...\Winlogon\Notify\ddaby, continuing.
[12/16/2007, 11:47:14] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/16/2007, 11:47:14] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/16/2007, 11:47:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/16/2007, 11:47:14] - No filename found. Continuing.
[12/16/2007, 11:47:14] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[12/16/2007, 11:47:14] - BHO 7: {fea47f99-e73c-40f0-a453-b266b5b6b832} ()
[12/16/2007, 11:47:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/16/2007, 11:47:14] - Checking for HKLM\...\Winlogon\Notify\rcygerwt
[12/16/2007, 11:47:14] - Key not found: HKLM\...\Winlogon\Notify\rcygerwt, continuing.
[12/16/2007, 11:47:14] - Finished Searching Browser Helper Objects
[12/16/2007, 11:47:14] - *** Detected MSEvents Object
[12/16/2007, 11:47:14] - Trying to remove MSEvents Object...
[12/16/2007, 11:47:15] - Terminating Process: IEXPLORE.EXE
[12/16/2007, 11:47:15] - Terminating Process: RUNDLL32.EXE
[12/16/2007, 11:47:16] - Disabling Automatic Shell Restart
[12/16/2007, 11:47:16] - Terminating Process: EXPLORER.EXE
[12/16/2007, 11:47:16] - Suspending the NT Session Manager System Service
[12/16/2007, 11:47:16] - Terminating Windows NT Logon/Logoff Manager
[12/16/2007, 11:47:17] - Re-enabling Automatic Shell Restart
[12/16/2007, 11:47:17] - File to disable: C:\WINDOWS\System32\qommkjj.dll
[12/16/2007, 11:47:17] - Renaming C:\WINDOWS\System32\qommkjj.dll -> C:\WINDOWS\System32\qommkjj.dll.vir
[12/16/2007, 11:47:18] - File successfully renamed!
[12/16/2007, 11:47:18] - Removing HKLM\...\Browser Helper Objects\{7555906D-70F1-4FD6-8250-4FBE75252F58}
[12/16/2007, 11:47:18] - Removing HKCR\CLSID\{7555906D-70F1-4FD6-8250-4FBE75252F58}
[12/16/2007, 11:47:18] - Adding Kill Bit for ActiveX for GUID: {7555906D-70F1-4FD6-8250-4FBE75252F58}
[12/16/2007, 11:47:18] - Deleting ATLEvents/MSEvents Registry entries
[12/16/2007, 11:47:18] - Removing HKLM\...\Winlogon\Notify\qommkjj
[12/16/2007, 11:47:18] - Searching for Browser Helper Objects:
[12/16/2007, 11:47:18] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/16/2007, 11:47:18] - BHO 2: {75E3DC0E-E5F7-4ED3-8828-F432F001E9D3} ()
[12/16/2007, 11:47:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/16/2007, 11:47:18] - Checking for HKLM\...\Winlogon\Notify\ddaby
[12/16/2007, 11:47:18] - Key not found: HKLM\...\Winlogon\Notify\ddaby, continuing.
[12/16/2007, 11:47:18] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/16/2007, 11:47:18] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/16/2007, 11:47:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/16/2007, 11:47:18] - No filename found. Continuing.
[12/16/2007, 11:47:18] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[12/16/2007, 11:47:18] - BHO 6: {fea47f99-e73c-40f0-a453-b266b5b6b832} ()
[12/16/2007, 11:47:18] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/16/2007, 11:47:18] - Checking for HKLM\...\Winlogon\Notify\rcygerwt
[12/16/2007, 11:47:18] - Key not found: HKLM\...\Winlogon\Notify\rcygerwt, continuing.
[12/16/2007, 11:47:18] - Finished Searching Browser Helper Objects
[12/16/2007, 11:47:18] - Finishing up...
[12/16/2007, 11:47:18] - A restart is needed.
[12/16/2007, 11:47:38] - Attempting to Restart via STOP error (Blue Screen!)


Et finalement le scan de bitdefender :

<HTML>
<HEAD>
<TITLE>BitDefender Online Scanner - Rapport d'analyse</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
</HEAD>
<BODY BGCOLOR=#FFFFFF leftmargin="10" marginwidth="0" topmargin="20" marginheight="0" >


<table align="center" border="0" cellpadding="0" cellspacing="0" width="90%">
<tr>
<td width="458">
<p><font face="Arial" color=red><span style="font-size:14pt;"><b>BitDefender Online Scanner</b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>
<tr>
<td colspan="3" width="912">
<p><font face="Arial"><span style="font-size:11pt;"><B>Rapport d'analyse généré à: Sun, Dec 16, 2007 - 12:43:23</b></span></font></p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B>Voie d'analyse: </b></span><span style="font-size:10pt;">A:\;C:\;D:\;</span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Statistiques</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Temps</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">00:45:43</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">310434</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Directoires</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">5391</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Secteurs de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">2</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1805</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">7724</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>



<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Résultats</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Virus identifiés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">9</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers infectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">12</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers suspects</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Désinfectés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">0</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Fichiers effacés</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">12</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Info sur les moteurs</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Définition virus</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">882495</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Version des moteurs</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">14</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Archive des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">38</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Unpack des plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">7</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">E-mail plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">6</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Système plugins</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">1</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="451" colspan="2" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Paramètres d'analyse</b></font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Première action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Désinfecté</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Seconde Action</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Heuristique</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Acceptez les avertissements</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Extensions analysées</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">*;</font></p>
</td>
</tr>

<tr>
<td width="57%">
<p><font face="Arial" size="2">Excludez les extensions</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2"> </font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse d'emails</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des Archives</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyser paquets programmes</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse des fichiers</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">Analyse de boot</font></p>
</td>
<td width="43%" align="right">
<p><font face="Arial" size="2">Oui</font></p>
</td>
</tr>
</table>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td colspan=2>  
<table border="1" cellspacing="0" bordercolordark="white" bordercolorlight="black" width="100%">
<tr>
<td width="252" bgcolor="#CCCCCC">
<p><font face="Arial" size="2"><B>Fichier analysé</b></font></p>
</td>
<td width="195" bgcolor="#CCCCCC" align="right">
<p align="left"><b><font size="2" face="Arial"> Statut</font></b></p>
</td>
</tr>
<tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>keygen.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Vundo.DTA</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>keygen.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>keygen.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la mise à jour</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>patch.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Peed.Gen</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>patch.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>patch.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la mise à jour</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>crack.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Downloader.LoadAdv.XXA</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>crack.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)=>crack.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294794.exe=>(RAR Sfx o)</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la mise à jour</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294795.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Vundo.DTA</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294795.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP720\A0294795.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP721\A0295902.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: MemScan:Trojan.Spy.Bancos.AAM</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP721\A0295902.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP721\A0295902.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP722\A0300051.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Vundo.DSW</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP722\A0300051.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\System Volume Information\_restore{31AD7FA8-05FB-4A49-896C-FB353AA65607}\RP722\A0300051.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\glltdgpm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Fotomoto.H</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\glltdgpm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\glltdgpm.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\qommkjj.dll.vir</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Vundo.DSW</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\qommkjj.dll.vir</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\WINDOWS\system32\qommkjj.dll.vir</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\rcygerwt.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Vundo.DSJ</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\rcygerwt.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\rcygerwt.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\swmimccy.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Vundo.DRT</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\swmimccy.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\swmimccy.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\ttcfrgfd.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: Trojan.Fotomoto.H</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\ttcfrgfd.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Echec de la désinfection</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\ttcfrgfd.exe</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\winjcr32.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Infecté par: MemScan:Trojan.Mezzia.XC</font></p>
</td>
</tr><tr>
<td width="57%">
<p><font face="Arial" size="2">C:\_OTMoveIt\MovedFiles\WINDOWS\System32\winjcr32.dll</font></p>
</td>
<td width="43%" align="left">
<p><font face="Arial" size="2">Supprimé</font></p>
</td>
</tr>
</table>
</td>

<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

<tr>
<td width="458">
<p><font face="Arial"><span style="font-size:11pt;"><B> </b></span></font></p>
</td>
<td width="40%">
<p> </p>
</td>
<td width="10%">
<p> </p>
</td>
</tr>

</table>
<p> </p>

</body>
</html>


dsl j'ai copié tout le rapport, mais je ne sais pas ce qui est forcément intéressant.
0
Réponse 7 / 16
Utilisateur anonyme
16 déc. 2007 à 16:57
Ok, très bien c'est déjà mieux.
Essai de refaire Vundofix en mode sans échec si cela plante encore laisse tomber.


Télécharge et installe AVG anti-spyware : mets le à jour
Tu fais un scan complet de ton système, dès qu'il a fini.
Si il te trouve des espions,supprime les. Enregistre le rapport et colle le ici stp

AVG anti-spyware : reste gratuit après la période d'essai en français
----> https://www.01net.com/telecharger/

Si tu as besoin d'aide avec Ewido(devenu AVG-antispyware) regarde ce tutoriel:
--> http://kerio.probb.fr/Chasser-les-virus-et-spywares-de-votre-systeme-f1/Tutoriel-AVG-anti-spyware-anti-spyware-t701.htm


A++
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
16 déc. 2007 à 17:01
Bonjour

Déso de passer
Boule ► MP
0
Réponse 8 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
16 déc. 2007 à 18:02
salut,

J'ai réessayé Vundofix tjs en mode sans échec et une nouvelle fois j'ai planté avec cet écran bleu de vidage mémoire (d'ailleurs ça me désespère un peu).

Voici le rapport d'AVG anti-spyware :

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 17:36:41 16.12.2007

+ Résultat de l'analyse:



C:\WINDOWS\system32\pCastCtl.dll -> Adware.Dudu : Aucune action entreprise.
:mozilla.57:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.58:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.59:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.72:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.11:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.12:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.94:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.95:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.96:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.98:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.99:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.

Fin du rapport


je les ai tous supprimé à part "Adware.Dudu" qu'AVG m'a suggéré d'ignorer (ce que j'ai fait).
0
Réponse 9 / 16
Utilisateur anonyme
17 déc. 2007 à 00:42
Tant pis jete Vundo.

Tu n'as rien supprimé de ce que t'a trouvé AVG ? Si non, fais ceci :
* clic sur démarrer, rechercher, tous les fichiers et dossiers, entre dans la première bare vide ceci : pCastCtl.dll lance la recherche et supprime-le.

Dès que c'est fait, remet un rapport Comboscan car j'ai oublié de te faire supprimer des bestioles apparemment ;-)
0
Réponse 10 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
17 déc. 2007 à 11:35
Ok c'est fait. Je tiens juste à noter que les applications se lancent plus lentement qu'avant, que la barre des taches et le bureau disparaissent parfois (je suis obligé de faire CTRL+ALT+DEL et demander l'explorer pour qu'il revienne). Par contre je n'ai plus de message de windows par apport à un trojan ou spyware.


J'ai refait un scann rapide avec AVG :
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 11:30:27 17.12.2007

+ Résultat de l'analyse:

:mozilla.161:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.122:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.123:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.124:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.125:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.126:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.127:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.128:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.129:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.130:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.131:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
:mozilla.167:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\Ian\Cookies\ian@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.82:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.101:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.102:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.103:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.104:C:\Documents and Settings\Ian\Application Data\Mozilla\Firefox\Profiles\07evni0p.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.


Fin du rapport


Voilà le rapport Comboscan :

Deckard's System Scanner v20071014.68
Run by Ian on 2007-12-17 11:13:55
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]System Drive C: has 13.44 GiB (less than 15%) free.[/color]


-- HijackThis (run as Ian.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:01, on 17.12.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\USBPlug.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\GSICON.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Documents and Settings\Ian\Bureau\Raccourcis Bureau non utilisés\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Ian.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://directory.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {71e9dd03-47b2-fc58-1084-c2241f05153a} - {a35150f1-422c-4801-85cf-2b7430dd9e17} - C:\WINDOWS\System32\sminugsr.dll
O2 - BHO: (no name) - {AC16A254-211B-495F-87D7-616E3A865CC7} - C:\WINDOWS\System32\ddaby.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [dscService] C:\WINDOWS\System32\USBPlug.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [inwdcrwb] rundll32.exe "C:\Program Files\inwdcrwb\kvcdyhih.dll",Init
O4 - HKLM\..\Run: [SC2] C:\Program Files\SecCenter\scprot4.exe
O4 - HKLM\..\Run: [dc3a71bf] rundll32.exe "C:\WINDOWS\System32\deumisss.dll",b
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O4 - HKCU\..\RunOnce: [CTStartup] "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE" /play
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winjcr32 - winjcr32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 11 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
18 déc. 2007 à 13:12
Salut, j'ai pu utiliser Vundofix en mode NORMAL et il m'a trouvé 3 bestioles :

rapport :
VundoFix V6.7.6

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.7
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.8
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 12:38:52 18.12.2007

Listing files found while scanning....

C:\windows\system32\ddaby.dll
C:\windows\system32\ybadd.ini
C:\windows\system32\ybadd.ini2

Beginning removal...

Attempting to delete C:\windows\system32\ddaby.dll
C:\windows\system32\ddaby.dll Has been deleted!

Attempting to delete C:\windows\system32\ybadd.ini
C:\windows\system32\ybadd.ini Has been deleted!

Attempting to delete C:\windows\system32\ybadd.ini2
C:\windows\system32\ybadd.ini2 Has been deleted!

Performing Repairs to the registry.
Done!


J'ai cliqué sur remove donc j'espère que ça a marché. En tout cas je note que les applications se lancent un peu plus rapidement.

Néanmoins à chaque démarrage, windows me signale qu'il n'a pas pu charger un fichier : kvcdyhih.dll
0
Réponse 12 / 16
Utilisateur anonyme
18 déc. 2007 à 13:16
pour suivre
0
Réponse 13 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
18 déc. 2007 à 13:18
pour suivre?
0
Réponse 14 / 16
Utilisateur anonyme
18 déc. 2007 à 13:22
je m'instruis en suivant le poste, t'inquiète !
;-)
0
Réponse 15 / 16
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
19 déc. 2007 à 10:50
Salut Philo2100 et Amigo,

Pour suivre ce topic, c'est là-bas < http://www.commentcamarche.net/forum/affich 4351434 infection avec trojan vundo#0 >

Al.
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
19 déc. 2007 à 10:52
;)
0
Réponse 16 / 16
rezarector Messages postés 61 Date d'inscription vendredi 26 novembre 2004 Statut Membre Dernière intervention 15 juin 2009 8
19 déc. 2007 à 10:53
exact merci. celui là n'avancait plus.
0

Discussions similaires

L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
J'ai recu un message cheval de troie
am -
DeNisCoOl -

1 réponse
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses