Sujet Précédent Sujet Suivant

Méga infection

Fermé
titeufauplat - 24 déc. 2007 à 15:51
 titeufauplat - 31 déc. 2007 à 16:03
Bonjour, je dois avoir environ une trentaine de backdoor, mon pc (xp sans pack) est une veritable passoire..Du coup, il plante, et me voila en mode sans echec...A l'aide!! Que faire? Merci d avance (jlpjlp est il la?)

41 réponses

Précédent
Réponse 21 / 41
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 déc. 2007 à 17:47
reprae windows:

http://www.informatruc.com/reparer-windows-xp/
0
Réponse 22 / 41
titeufauplat
27 déc. 2007 à 19:27
ca y est...Apres, que me conseilles tu? voici un rapport d a squared pour de donner une idée de mon infection :
Version - a-squared Free 3.0
Dernière mise à jour: 22/12/2007 17:18:36

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\, D:\
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 01/01/2000 20:22:29

[1276] C:\WINDOWS\Mrshield.exe Détecter: Backdoor.Win32.SdBot.ckc
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> windows logon application Détecter: Trace.Registry.MultiBotPro
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> windows explorer Détecter: Trace.Registry.Suspicious
C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\ez00kabv.default\cookies.txt:16 Détecter: Trace.TrackingCookie
C:\9w3l6u1g1.exe Détecter: Dialer
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OZXMN0DX\cowboy[1].jpg Détecter: Dialer
C:\i2n4r9g1l2.exe Détecter: Trojan-Downloader.Win32.Small.hcu
C:\Program Files\Fichiers communs\Carlson\carlton Détecter: Dialer
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0000026.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0000058.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0000069.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001058.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001077.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001094.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001115.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001139.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001162.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001181.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001199.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001210.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0002210.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0002225.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0003219.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0003227.exe Détecter:
Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0004241.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0005248.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0005301.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0005318.exe Détecter: Dialer
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0005324.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006235.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006248.exe Détecter: Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006270.exe Détecter: Dialer
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006280.exe Détecter: Trojan-Downloader.Win32.Small.hcu
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006286.exe Détecter: Dialer
C:\WINDOWS\Mrshield.exe Détecter: Backdoor.Win32.SdBot.ckc
C:\WINDOWS\system32\aueqnuis .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\aycr.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\ccdh .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4LQ9IH45\cowboy[1].jpg Détecter: Dialer
C:\WINDOWS\system32\csrs .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\ddcyxxu.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\ekbdrg.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\explorer .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\fccayax.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\firewall .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\gfgocf.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\gxwuv.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\iexplore .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\Isass .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\jkkjjij.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\kvufx .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\lcqdkxb.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\lgsbd.exe Détecter: Backdoor.Win32.PcClient.aia
C:\WINDOWS\system32\ljjihgf.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\logon .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\lssas .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\mlywvimi .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\mtbt.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\nptnnjw.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\nqfqq .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\opnljhf.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\pauvy .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\pfbev.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\pmmt.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\psx.exe Détecter: Backdoor.Win32.SdBot.ckc
C:\WINDOWS\system32\pywkz.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\qahqhnn .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\qbrhv .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\qvcvuct .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\ssqqnlj.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\sxjmtt .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\tgwmbit.exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\tuvvuur.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\tuvwvwx.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\vmadlm .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\vnbnfzgt .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\winamp .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\winIogon .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\wqlnmtg .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\wvusrpp.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\wxfdhrow .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\xxywvur.dll Détecter: Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\ydxpir .exe Détecter: Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\zlngsu .exe Détecter: Trojan.Win32.Agent.dcb

Scanné

Fichiers: 61466
Traces: 344908
Cookies: 53
Processus: 23

Trouver

Fichiers: 80
Traces: 2
Cookies: 1
Processus: 1
Clés de Registre: 0

Fin du Scan: 27/12/2007 15:53:05
Temps du Scan: 19:30:36

C:\WINDOWS\system32\lgsbd.exe Supprimé Backdoor.Win32.PcClient.aia
C:\WINDOWS\system32\ddcyxxu.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\fccayax.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\jkkjjij.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\ljjihgf.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\opnljhf.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\ssqqnlj.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\tuvvuur.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\tuvwvwx.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\wvusrpp.dll Supprimé Adware.Win32.Virtumonde.blg
C:\WINDOWS\system32\xxywvur.dll Supprimé Adware.Win32.Virtumonde.blg
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0000026.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0000058.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0000069.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001058.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001077.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001094.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001115.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001139.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001162.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001181.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001199.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0001210.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0002210.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0002225.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0003219.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0003227.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0004241.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0005248.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0005301.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0005324.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006235.exe Supprimé Trojan.Win32.Agent.dcb
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006248.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\aueqnuis .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\aycr.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\ccdh .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\csrs .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\ekbdrg.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\explorer .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\firewall .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\gfgocf.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\gxwuv.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\iexplore .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\Isass .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\kvufx .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\lcqdkxb.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\logon .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\lssas .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\mlywvimi .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\mtbt.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\nptnnjw.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\nqfqq .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\pauvy .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\pfbev.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\pmmt.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\pywkz.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\qahqhnn .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\qbrhv .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\qvcvuct .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\sxjmtt .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\tgwmbit.exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\vmadlm .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\vnbnfzgt .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\winamp .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\winIogon .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\wqlnmtg .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\wxfdhrow .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\ydxpir .exe Supprimé Trojan.Win32.Agent.dcb
C:\WINDOWS\system32\zlngsu .exe Supprimé Trojan.Win32.Agent.dcb
C:\i2n4r9g1l2.exe Supprimé Trojan-Downloader.Win32.Small.hcu
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006280.exe Supprimé Trojan-Downloader.Win32.Small.hcu
C:\9w3l6u1g1.exe Supprimé Dialer
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OZXMN0DX\cowboy[1].jpg Supprimé Dialer
C:\Program Files\Fichiers communs\Carlson\carlton Supprimé Dialer
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP2\A0005318.exe Supprimé Dialer
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006270.exe Supprimé Dialer
C:\System Volume Information\_restore{01DC1A14-4144-430C-8B19-827F910D2C96}\RP3\A0006286.exe Supprimé Dialer
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4LQ9IH45\cowboy[1].jpg Supprimé Dialer
C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\ez00kabv.default\cookies.txt:16 Supprimé Trace.TrackingCookie
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> windows explorer Supprimé Trace.Registry.Suspicious
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> windows logon application Supprimé Trace.Registry.MultiBotPro
[1276] C:\WINDOWS\Mrshield.exe Supprimé Backdoor.Win32.SdBot.ckc
C:\WINDOWS\Mrshield.exe Supprimé Backdoor.Win32.SdBot.ckc
C:\WINDOWS\system32\psx.exe Supprimé Backdoor.Win32.SdBot.ckc

Supprimé

Fichiers: 80
Traces: 2
Cookies: 1
0
Réponse 23 / 41
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
28 déc. 2007 à 09:42
bravo! tu as de tout!!!

desactive la mise a jour automatique de windows surtout!!


________________

ca:
Carlson\carlton c'est une infection venue par MSN


Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr pour faire evoluer msnfix

---------------------

AVG antispyware

https://www.01net.com/telecharger/

Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici





_________________________


apres il y a une infection vundo:

scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.

__________________
puis :


virtumondebegone (colle le rapport)

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
___________________

puis Symantec Vundo Remove Tool

https://www.broadcom.com/support/security-center

____________________

combofix (colle le rapport)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

______________________

ensuite colle un rapport hijackthis



rq: il restera au final apres la desinsfection a desactiver la restauration systeme: pour ces viurs situés dans
C:\System Volume Information\_restore (c'est ta restauration systeme)
0
Réponse 24 / 41
titeufauplat
28 déc. 2007 à 11:53
Salut, voila msnfix :
par contre, il m a pas demandé de redemarrer , et je n ai pas trouvé le fichier C:\DOCUME~1\florian\Bureau\Upload_Me.zip...

MSNFix 1.611

C:\Documents and Settings\Christophe\Bureau\MSNFix
Fix exécuté le 28/12/2007 - 11:43:34,26 By Christophe
mode sans échec

************************ Recherche les fichiers présents

... C:\DOCUME~1\ALLUSE~1\MENUDM~1\carlton
... C:\WINDOWS\system32\lssas.exe
... C:\WINDOWS\system32\winIogon.exe

************************ MSNCHK ***** /!\ beta test /!\



************************ Recherche les dossiers présents

... C:\Program Files\Fichiers communs\Carlson\
... C:\PROGRA~1\FICHIE~1\Carlson\




************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\ALLUSE~1\MENUDM~1\carlton
.. OK ... C:\WINDOWS\system32\lssas.exe
.. OK ... C:\WINDOWS\system32\winIogon.exe


************************ Suppression des dossiers

.. OK ... C:\Program Files\Fichiers communs\Carlson\
.. OK ... C:\PROGRA~1\FICHIE~1\Carlson\


************************ Nettoyage du registre



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 28122007_11460329.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 41
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
28 déc. 2007 à 15:05
ok tu peux poursuivre
0
Réponse 26 / 41
titeufauplat
28 déc. 2007 à 16:07
ok..Voici le rapport d avg :
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 15:57:24 28/12/2007

+ Résultat de l'analyse:



C:\Documents and Settings\Administrateur\Local Settings\Temp\RCXB.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Administrateur\Local Settings\Temp\TMP1.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Christophe\Bureau\MSNFix\28122007_11460329.zip/backup/lssas.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\Christophe\Bureau\MSNFix\28122007_11460329.zip/backup/winIogon.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\parents\Local Settings\Temp\RCXB.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\parents\Local Settings\Temp\TMP4.tmp -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\AntiVir PersonalEdition Classic\avgnt .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Java\jre1.6.0_01\bin\jusched .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\MSN Messenger\MsnMsgr.Exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\MSN Messenger\msnmsgr .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Softwin\BitDefender8\bdmcon .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Softwin\BitDefender8\bdnagent .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Spybot - Search & Destroy\TeaTimer .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\svchost .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\accwiz.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\actmovie.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ahd.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ahjbotir .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ahui.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\alg.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\append.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\arp.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\asr_fmt.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\asr_ldm.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\cpbctqyi.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ctfmon .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\druxsozf.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\etfnckaf.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\fqyfr.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\hzyfbgsv.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\jrfzss.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\kimo.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\lapobjuo.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\lmqaudov.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\lyft.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\msyaugs.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\nbqbup.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\nliey.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ojekft .exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ojekft.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ovpxn.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\pmqy.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\qhueyes.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\qkhyfq.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\qqzeqdct.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\sghpe.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\smcygwpe.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\tijubda.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ukypuizw.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\vqta.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\zhvjic.exe -> Dropper.Agent.dgo : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.20:C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\ez00kabv.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.21:C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\ez00kabv.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\E5WL0FUL\x[1].exe -> Worm.Padobot.m : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ftpupd.exe -> Worm.Padobot.m : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport
0
Réponse 27 / 41
titeufauplat
28 déc. 2007 à 16:51
voici vundofix :

VundoFix V6.7.7

Checking Java version...

Scan started at 16:24:53 28/12/2007

Listing files found while scanning....

C:\WINDOWS\system32\awtrspm.dll
C:\WINDOWS\system32\awtrspn.dll
C:\WINDOWS\system32\byxwuts.dll
C:\WINDOWS\system32\cbxuvwx.dll
C:\WINDOWS\system32\ddcbcbx.dll
C:\WINDOWS\system32\dgggh.ini
C:\WINDOWS\system32\dgggh.ini2
C:\WINDOWS\system32\efcbcyx.dll
C:\WINDOWS\system32\efccyyw.dll
C:\WINDOWS\system32\fccyvtt.dll
C:\WINDOWS\system32\gebawvw.dll
C:\WINDOWS\system32\geedb.dll
C:\WINDOWS\system32\hgggd.dll
C:\WINDOWS\system32\hgghfec.dll
C:\WINDOWS\system32\khfedcc.dll
C:\WINDOWS\system32\khfgfgh.dll
C:\WINDOWS\system32\khfgggf.dll
C:\WINDOWS\system32\mljiiig.dll
C:\WINDOWS\system32\nnnlkhi.dll
C:\WINDOWS\system32\nnnmmnm.dll
C:\WINDOWS\system32\pmnonmk.dll
C:\WINDOWS\system32\rqrsttr.dll
C:\WINDOWS\system32\ssqqnlk.dll
C:\WINDOWS\system32\tuvutrp.dll
C:\WINDOWS\system32\tuvuuvt.dll
C:\WINDOWS\system32\tuvwxvu.dll
C:\WINDOWS\system32\urqqnnl.dll
C:\WINDOWS\system32\wvurppp.dll
C:\WINDOWS\system32\wvuuvvw.dll
C:\WINDOWS\system32\xxyaaab.dll
C:\WINDOWS\system32\yayxuut.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtrspm.dll
C:\WINDOWS\system32\awtrspm.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\awtrspn.dll
C:\WINDOWS\system32\awtrspn.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\byxwuts.dll
C:\WINDOWS\system32\byxwuts.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\cbxuvwx.dll
C:\WINDOWS\system32\cbxuvwx.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ddcbcbx.dll
C:\WINDOWS\system32\ddcbcbx.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\dgggh.ini
C:\WINDOWS\system32\dgggh.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\dgggh.ini2
C:\WINDOWS\system32\dgggh.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\efcbcyx.dll
C:\WINDOWS\system32\efcbcyx.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\efccyyw.dll
C:\WINDOWS\system32\efccyyw.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\fccyvtt.dll
C:\WINDOWS\system32\fccyvtt.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebawvw.dll
C:\WINDOWS\system32\gebawvw.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\geedb.dll
C:\WINDOWS\system32\geedb.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\hgggd.dll
C:\WINDOWS\system32\hgggd.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\hgghfec.dll
C:\WINDOWS\system32\hgghfec.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\khfedcc.dll
C:\WINDOWS\system32\khfedcc.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\khfgfgh.dll
C:\WINDOWS\system32\khfgfgh.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\khfgggf.dll
C:\WINDOWS\system32\khfgggf.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\mljiiig.dll
C:\WINDOWS\system32\mljiiig.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\nnnlkhi.dll
C:\WINDOWS\system32\nnnlkhi.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\nnnmmnm.dll
C:\WINDOWS\system32\nnnmmnm.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\pmnonmk.dll
C:\WINDOWS\system32\pmnonmk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\rqrsttr.dll
C:\WINDOWS\system32\rqrsttr.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ssqqnlk.dll
C:\WINDOWS\system32\ssqqnlk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tuvutrp.dll
C:\WINDOWS\system32\tuvutrp.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tuvuuvt.dll
C:\WINDOWS\system32\tuvuuvt.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tuvwxvu.dll
C:\WINDOWS\system32\tuvwxvu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\urqqnnl.dll
C:\WINDOWS\system32\urqqnnl.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\wvurppp.dll
C:\WINDOWS\system32\wvurppp.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\wvuuvvw.dll
C:\WINDOWS\system32\wvuuvvw.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\xxyaaab.dll
C:\WINDOWS\system32\xxyaaab.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\yayxuut.dll
C:\WINDOWS\system32\yayxuut.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.7

Checking Java version...

Scan started at 16:42:46 28/12/2007

Listing files found while scanning....
0
Réponse 28 / 41
titeufauplat
28 déc. 2007 à 16:52
puis virtumonde :


[12/28/2007, 16:45:47] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Christophe\Bureau\VirtumundoBeGone.exe" )
[12/28/2007, 16:45:56] - Detected System Information:
[12/28/2007, 16:45:56] - Windows Version: 5.1.2600,
[12/28/2007, 16:45:56] - Current Username: Christophe (Admin)
[12/28/2007, 16:45:56] - Windows is in SAFE mode.
[12/28/2007, 16:45:56] - Searching for Browser Helper Objects:
[12/28/2007, 16:45:56] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[12/28/2007, 16:45:56] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[12/28/2007, 16:45:56] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[12/28/2007, 16:45:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/28/2007, 16:45:56] - No filename found. Continuing.
[12/28/2007, 16:45:56] - BHO 4: {668EAEFE-5120-4134-B09D-3A81ADA9500A} ()
[12/28/2007, 16:45:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/28/2007, 16:45:56] - Checking for HKLM\...\Winlogon\Notify\hgggd
[12/28/2007, 16:45:56] - Key not found: HKLM\...\Winlogon\Notify\hgggd, continuing.
[12/28/2007, 16:45:56] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/28/2007, 16:45:56] - BHO 6: {7A5565EF-A594-46E4-AF56-FE71AEAFD7D5} ()
[12/28/2007, 16:45:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/28/2007, 16:45:56] - Checking for HKLM\...\Winlogon\Notify\xxyaaab
[12/28/2007, 16:45:56] - Found: HKLM\...\Winlogon\Notify\xxyaaab - This is probably Virtumundo.
[12/28/2007, 16:45:56] - Assigning {7A5565EF-A594-46E4-AF56-FE71AEAFD7D5} MSEvents Object
[12/28/2007, 16:45:56] - BHO list has been changed! Starting over...
[12/28/2007, 16:45:56] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[12/28/2007, 16:45:56] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[12/28/2007, 16:45:56] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[12/28/2007, 16:45:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/28/2007, 16:45:56] - No filename found. Continuing.
[12/28/2007, 16:45:56] - BHO 4: {668EAEFE-5120-4134-B09D-3A81ADA9500A} ()
[12/28/2007, 16:45:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/28/2007, 16:45:56] - Checking for HKLM\...\Winlogon\Notify\hgggd
[12/28/2007, 16:45:56] - Key not found: HKLM\...\Winlogon\Notify\hgggd, continuing.
[12/28/2007, 16:45:56] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/28/2007, 16:45:56] - BHO 6: {7A5565EF-A594-46E4-AF56-FE71AEAFD7D5} (MSEvents Object)
[12/28/2007, 16:45:56] - ALERT: Found MSEvents Object!
[12/28/2007, 16:45:56] - BHO 7: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[12/28/2007, 16:45:56] - BHO 8: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/28/2007, 16:45:56] - Finished Searching Browser Helper Objects
[12/28/2007, 16:45:56] - *** Detected MSEvents Object
[12/28/2007, 16:45:56] - Trying to remove MSEvents Object...
[12/28/2007, 16:45:57] - Terminating Process: IEXPLORE.EXE
[12/28/2007, 16:45:57] - Terminating Process: RUNDLL32.EXE
[12/28/2007, 16:45:57] - Disabling Automatic Shell Restart
[12/28/2007, 16:45:57] - Terminating Process: EXPLORER.EXE
[12/28/2007, 16:45:58] - Suspending the NT Session Manager System Service
[12/28/2007, 16:45:58] - Terminating Windows NT Logon/Logoff Manager
[12/28/2007, 16:45:58] - Re-enabling Automatic Shell Restart
[12/28/2007, 16:45:58] - File to disable: C:\WINDOWS\System32\xxyaaab.dll
[12/28/2007, 16:45:58] - Renaming C:\WINDOWS\System32\xxyaaab.dll -> C:\WINDOWS\System32\xxyaaab.dll.vir
[12/28/2007, 16:45:58] - File successfully renamed!
[12/28/2007, 16:45:58] - Removing HKLM\...\Browser Helper Objects\{7A5565EF-A594-46E4-AF56-FE71AEAFD7D5}
[12/28/2007, 16:45:58] - Removing HKCR\CLSID\{7A5565EF-A594-46E4-AF56-FE71AEAFD7D5}
[12/28/2007, 16:45:58] - Adding Kill Bit for ActiveX for GUID: {7A5565EF-A594-46E4-AF56-FE71AEAFD7D5}
[12/28/2007, 16:45:58] - Deleting ATLEvents/MSEvents Registry entries
[12/28/2007, 16:45:58] - Removing HKLM\...\Winlogon\Notify\xxyaaab
[12/28/2007, 16:45:58] - Searching for Browser Helper Objects:
[12/28/2007, 16:45:58] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[12/28/2007, 16:45:58] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[12/28/2007, 16:45:58] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[12/28/2007, 16:45:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/28/2007, 16:45:58] - No filename found. Continuing.
[12/28/2007, 16:45:58] - BHO 4: {668EAEFE-5120-4134-B09D-3A81ADA9500A} ()
[12/28/2007, 16:45:58] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/28/2007, 16:45:58] - Checking for HKLM\...\Winlogon\Notify\hgggd
[12/28/2007, 16:45:58] - Key not found: HKLM\...\Winlogon\Notify\hgggd, continuing.
[12/28/2007, 16:45:58] - BHO 5: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/28/2007, 16:45:58] - BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[12/28/2007, 16:45:58] - BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[12/28/2007, 16:45:58] - Finished Searching Browser Helper Objects
[12/28/2007, 16:45:58] - Finishing up...
[12/28/2007, 16:45:58] - A restart is needed.
[12/28/2007, 16:46:20] - Attempting to Restart via STOP error (Blue Screen!)
0
Réponse 29 / 41
titeufauplat
28 déc. 2007 à 17:13
puis combofix apres avoir fait symantec...qui n a rien trouvé (youpi)...
Pour info, je fais tout ca en mode sans echec :
ComboFix 07-12-21.4 - Christophe 2007-12-28 17:00:39.1 - NTFSx86 NETWORK
Running from: C:\Documents and Settings\Christophe\Bureau\ComboFix.exe
.
[i] ADS - svchost.exe: deleted 88 bytes in 2 streams. [/i]

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-28 to 2007-12-28 ))))))))))))))))))))))))))))))))))))
.

2007-12-28 16:24 . 2007-12-28 16:42 <REP> d-------- C:\VundoFix Backups
2007-12-28 15:00 . 2007-12-28 15:00 0 --a------ C:\WINDOWS\system32\mcrh.tmp
2007-12-28 11:16 . 2007-12-28 11:16 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2007-12-28 11:16 . 2007-12-28 11:16 123,904 --a------ C:\WINDOWS\system32\owsxwm.exe
2007-12-26 16:59 . 2007-12-26 16:59 957,952 --a------ C:\WINDOWS\system32\xdx.exe
2007-12-26 16:59 . 2007-12-26 16:59 16,384 --ah----- C:\WINDOWS\system32\yiqizg.exe
2007-12-26 16:57 . 2007-12-26 16:57 1,635 --a------ C:\WINDOWS\system32\djzaon.exe
2007-12-26 16:57 . 2007-12-26 16:57 122 --a------ C:\WINDOWS\system32\kdsrmp.bat
2007-12-26 16:56 . 2007-12-26 16:56 40,960 --a------ C:\WINDOWS\system32\qhueyes .exe
2007-12-26 16:38 . 2007-12-26 16:38 1,635 --a------ C:\WINDOWS\system32\gidw.exe
2007-12-26 16:38 . 2007-12-26 16:38 1,635 --a------ C:\WINDOWS\system32\emczb.exe
2007-12-26 16:30 . 2007-12-26 16:30 1,635 --a------ C:\WINDOWS\system32\ehjqvc.exe
2007-12-26 16:21 . 2007-12-26 16:21 1,635 --a------ C:\WINDOWS\system32\ykwaufff.exe
2007-12-26 16:21 . 2007-12-26 16:21 1,635 --a------ C:\WINDOWS\system32\tdzw.exe
2007-12-26 16:14 . 2007-12-26 16:14 40,960 --a------ C:\WINDOWS\system32\zorpie.exe
2007-12-26 16:14 . 2007-12-26 16:14 1,635 --a------ C:\WINDOWS\system32\iofdw.exe
2007-12-26 16:02 . 2007-12-26 17:57 333,312 --a------ C:\WINDOWS\system32\hgggd.exe
2007-12-26 16:01 . 2007-12-26 16:01 1,635 --a------ C:\WINDOWS\system32\epoqvx.exe
2007-12-26 15:58 . 2007-12-26 15:58 28,160 --ah----- C:\WINDOWS\system32\shzswp.exe
2007-12-26 15:51 . 2007-12-26 15:51 40,960 --a------ C:\WINDOWS\system32\sszvq.exe
2007-12-26 15:51 . 2007-12-26 15:51 1,635 --a------ C:\WINDOWS\system32\blkwame.exe
2007-12-26 15:33 . 2007-12-26 15:34 940,032 --a------ C:\WINDOWS\system32\gjt.exe
2007-12-26 15:31 . 2007-12-26 15:31 1,635 --a------ C:\WINDOWS\system32\pjjwmuo.exe
2007-12-26 15:31 . 2007-12-26 15:31 1,635 --a------ C:\WINDOWS\system32\dqsyml.exe
2007-12-26 15:15 . 2007-12-26 15:15 1,635 --a------ C:\WINDOWS\system32\mayysh.exe
2007-12-26 15:10 . 2007-12-26 15:10 40,960 --a------ C:\WINDOWS\system32\slgfkcpx.exe
2007-12-26 15:10 . 2007-12-26 15:10 1,635 --a------ C:\WINDOWS\system32\yjflxaev.exe
2007-12-26 14:47 . 2007-12-26 14:47 0 --a------ C:\WINDOWS\system32\nyo.exe
2007-12-26 14:41 . 2007-12-26 14:41 40,960 --a------ C:\WINDOWS\system32\ujfb.exe
2007-12-26 14:41 . 2007-12-26 14:41 1,635 --a------ C:\WINDOWS\system32\ttjz.exe
2007-12-26 14:41 . 2007-12-26 14:41 1,635 --a------ C:\WINDOWS\system32\rbadca.exe
2007-12-26 14:41 . 2007-12-26 14:41 1,635 --a------ C:\WINDOWS\system32\foii.exe
2007-12-26 14:37 . 2007-12-26 14:37 37,376 --a------ C:\WINDOWS\system32\xxyaaab.dll.vir
2007-12-25 10:43 . 2007-12-25 10:44 <REP> d-------- C:\Program Files\Panda Security
2007-12-07 15:27 . 2001-08-17 22:07 8,064 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2007-12-07 15:26 . 2007-12-07 15:26 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2007-12-07 15:25 . 2007-12-07 15:25 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-28 14:56 --------- d-----w C:\Program Files\MSN Messenger
2007-12-28 10:45 656,384 ----a-w C:\WINDOWS\system32\spider.exe
2007-12-28 10:45 541,696 ----a-w C:\WINDOWS\system32\wiaacmgr.exe
2007-12-28 10:45 512,000 ----a-w C:\WINDOWS\system32\mstsc.exe
2007-12-28 10:45 432,640 ----a-w C:\WINDOWS\IsUn040c.exe
2007-12-28 10:45 261,120 ----a-w C:\WINDOWS\system32\sndvol32.exe
2007-12-28 10:45 249,856 ----a-w C:\WINDOWS\system32\mshearts.exe
2007-12-28 10:45 247,808 ----a-w C:\WINDOWS\system32\sndrec32.exe
2007-12-28 10:45 241,664 ----a-w C:\WINDOWS\system32\winmine.exe
2007-12-28 10:45 237,056 ----a-w C:\WINDOWS\system32\calc.exe
2007-12-28 10:45 202,752 ----a-w C:\WINDOWS\system32\charmap.exe
2007-12-28 10:45 185,344 ----a-w C:\WINDOWS\system32\msiexec.exe
2007-12-28 10:45 184,832 ----a-w C:\WINDOWS\system32\cleanmgr.exe
2007-12-28 10:45 179,200 ----a-w C:\WINDOWS\system32\sol.exe
2007-12-28 10:45 177,664 ----a-w C:\WINDOWS\system32\freecell.exe
2007-12-28 10:45 172,032 ----a-w C:\WINDOWS\system32\CNMCP3M.EXE
2007-12-28 10:45 163,840 ----a-w C:\WINDOWS\system32\odbcad32.exe
2007-12-28 10:45 154,112 ----a-w C:\WINDOWS\system32\wupdmgr.exe
2007-12-28 10:45 154,112 ----a-w C:\WINDOWS\system32\rundll32.exe
2007-12-28 10:45 1,288,192 ----a-w C:\WINDOWS\system32\ntbackup.exe
2007-12-28 10:45 --------- d-----w C:\Program Files\XviD
2007-12-28 10:42 509,952 ----a-w C:\WINDOWS\system32\cmd.exe
2007-12-28 10:42 468,480 ----a-w C:\WINDOWS\system32\tourstart.exe
2007-12-28 10:42 335,360 ----a-w C:\WINDOWS\system32\osk.exe
2007-12-28 10:42 258,048 ----a-w C:\WINDOWS\system32\mobsync.exe
2007-12-28 10:42 189,952 ----a-w C:\WINDOWS\system32\magnify.exe
2007-12-28 10:42 189,440 ----a-w C:\WINDOWS\system32\notepad.exe
2007-12-28 10:42 168,448 ----a-w C:\WINDOWS\system32\utilman.exe
2007-12-28 10:42 156,160 ----a-w C:\WINDOWS\system32\rcimlby.exe
2007-12-27 18:29 --------- d-----w C:\Program Files\a-squared Free
2007-12-22 18:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-22 15:12 14 ----a-w C:\Documents and Settings\Christophe\getfile.dat
2007-12-21 22:37 14 ----a-w C:\Documents and Settings\moi\getfile.dat
2007-12-07 14:59 14 ----a-w C:\Documents and Settings\parents\getfile.dat
2007-07-04 09:05 16,368 ----a-w C:\Documents and Settings\Christophe\Application Data\GDIPFONTCACHEV1.DAT
2000-01-01 00:14 56 --sh--r C:\WINDOWS\system32\369D4A702B.sys
2000-01-01 00:14 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{668EAEFE-5120-4134-B09D-3A81ADA9500A}]
C:\WINDOWS\System32\hgggd.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" []
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" []
"windows management services"="winmgrs.exe" []
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" []
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" []
"windows management services"="winmgrs.exe" []
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-12-28 15:13]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" []
"BDMCon"="C:\Program Files\Softwin\BitDefender8\bdmcon.exe" []
"BDNewsAgent"="C:\Program Files\Softwin\BitDefender8\bdnagent.exe" []
"JeticoPFStartup"="C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"VundoFix"="C:\Documents and Settings\Christophe\Bureau\vundofix.exe" [2007-12-28 16:21]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"windows management services"="winmgrs.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" []
"Win32"="winnnit.exe" []
"windows management services"="winmgrs.exe" []


.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-28 17:05:31
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\nhifpbv.exe 5556 bytes executable
C:\WINDOWS\system32\guki.exe 73664 bytes executable
C:\WINDOWS\system32\bfnfvic.exe 13728 bytes executable

scan completed successfully
hidden files: 3

**************************************************************************
.
Completion time: 2007-12-28 17:07:08 - machine was rebooted
0
Réponse 30 / 41
titeufauplat
28 déc. 2007 à 17:22
et voila hijhjackthis :
Logfile of HijackThis v1.99.1
Scan saved at 17:19:34, on 28/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32\brrbhdjq.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\eden\test.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2A285E08-A50E-4F21-AC67-4A4B08FFA2B6} - C:\WINDOWS\System32\jkkji.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {668EAEFE-5120-4134-B09D-3A81ADA9500A} - C:\WINDOWS\System32\hgggd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [windows management services] winmgrs.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\brrbhdjq.exe
O4 - HKLM\..\RunServices: [windows management services] winmgrs.exe
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Documents and Settings\Christophe\Bureau\vundofix.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [windows management services] winmgrs.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: reminder-Enregistrement du produit ScanSoft.lnk = C:\Program Files\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: gebbxyw - C:\WINDOWS\SYSTEM32\gebbxyw.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Micr0s0ft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\sxch0st.exe (file missing)
O23 - Service: navapsvc - Unknown owner - C:\WINDOWS\navapsvc.exe (file missing)
O23 - Service: Windows .NET Service - Unknown owner - C:\WINDOWS\netserv.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



je precise aussi que j ai fait tout ca en mode sans echec avec prise en charge reseau
0
Réponse 31 / 41
titeufauplat
28 déc. 2007 à 17:34
désolé, je n arrive pas a desactiver la restauration systeme, ca me dit qu'elle a rencontré une erreur en tentant de le faire, puis j ai eu un arret autorité NT system apres...
0
Réponse 32 / 41
titeufauplat
28 déc. 2007 à 18:40
ca y est , j ai pu desactiver la restauration systeme...que faire now?
0
Réponse 33 / 41
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
28 déc. 2007 à 19:54
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

O2 - BHO: (no name) - {2A285E08-A50E-4F21-AC67-4A4B08FFA2B6} - C:\WINDOWS\System32\jkkji.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {668EAEFE-5120-4134-B09D-3A81ADA9500A} - C:\WINDOWS\System32\hgggd.dll (file missing)
O4 - HKLM\..\Run: [windows management services] winmgrs.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\brrbhdjq.exe
O4 - HKLM\..\RunServices: [windows management services] winmgrs.exe
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Documents and Settings\Christophe\Bureau\vundofix.exe"
O4 - HKCU\..\Run: [windows management services] winmgrs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O20 - Winlogon Notify: gebbxyw - C:\WINDOWS\SYSTEM32\gebbxyw.dll

________________________


télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :


C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\System32\brrbhdjq.exe
C:\WINDOWS\SYSTEM32\gebbxyw.dll
C:\WINDOWS\System32\jkkji.dll
C:\WINDOWS\system32\xxyaaab.dll.vir


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.


________________________
analyse ces fichiers sur virus total: ceux qui sont infécté tu les vire avec otmovit: https://www.virustotal.com/gui/

C:\WINDOWS\system32\owsxwm.exe
C:\WINDOWS\system32\xdx.exe
C:\WINDOWS\system32\yiqizg.exe
C:\WINDOWS\system32\djzaon.exe
C:\WINDOWS\system32\kdsrmp.bat
C:\WINDOWS\system32\qhueyes .exe
C:\WINDOWS\system32\gidw.exe
C:\WINDOWS\system32\emczb.exe
C:\WINDOWS\system32\ehjqvc.exe
C:\WINDOWS\system32\ykwaufff.exe
C:\WINDOWS\system32\tdzw.exe
C:\WINDOWS\system32\zorpie.exe
C:\WINDOWS\system32\iofdw.exe
C:\WINDOWS\system32\hgggd.exe
C:\WINDOWS\system32\epoqvx.exe
C:\WINDOWS\system32\shzswp.exe
C:\WINDOWS\system32\sszvq.exe
C:\WINDOWS\system32\blkwame.exe
C:\WINDOWS\system32\gjt.exe
C:\WINDOWS\system32\pjjwmuo.exe
C:\WINDOWS\system32\dqsyml.exe
C:\WINDOWS\system32\mayysh.exe
C:\WINDOWS\system32\slgfkcpx.exe
2C:\WINDOWS\system32\yjflxaev.exe
C:\WINDOWS\system32\nyo.exe
C:\WINDOWS\system32\ujfb.exe
C:\WINDOWS\system32\ttjz.exe
C:\WINDOWS\system32\rbadca.exe
C:\WINDOWS\system32\foii.exe
______________________

installe spywareblaster:
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html

SPYWAREBLASTER pour immuniser le système contre vundo(infection que tu avais)notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

_____________________
ne navigue plus avec internet explorer mais avec firefox ou opera:

http://www.mozilla-europe.org/fr/products/firefox/

______________________

recolle un rapport hiajckthis et dis tes pb

















pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
AD AWARE + SPYBOT +/- si tea timer non active de spybot: SPYWARE TERMINATOR

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------

CCLEANER pour effacer les traces de surf
0
Réponse 34 / 41
titeufauplat
28 déc. 2007 à 20:53
voici oTMovelT :
C:\WINDOWS\System32\csrs.exe moved successfully.
C:\WINDOWS\System32\Isass.exe moved successfully.
C:\WINDOWS\System32\brrbhdjq.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\gebbxyw.dll
C:\WINDOWS\SYSTEM32\gebbxyw.dll NOT unregistered.
File move failed. C:\WINDOWS\SYSTEM32\gebbxyw.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\jkkji.dll
C:\WINDOWS\System32\jkkji.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\jkkji.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\xxyaaab.dll.vir moved successfully.

Created on 12/28/2007 20:46:33
0
Réponse 35 / 41
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
28 déc. 2007 à 20:58
ok tu peux poursuivre

bon boulot!!
0
Réponse 36 / 41
titeufauplat
29 déc. 2007 à 18:59
Salut, je pense avoir un souci avec un des fichiers suspects, meme virustotal n a pas pu l analyser :
File move failed. C:\WINDOWS\system32\nyo.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\owsxwm.exe moved successfully.
C:\WINDOWS\system32\xdx.exe moved successfully.
C:\WINDOWS\system32\qhueyes .exe moved successfully.
C:\WINDOWS\system32\zorpie.exe moved successfully.
C:\WINDOWS\system32\shzswp.exe moved successfully.
C:\WINDOWS\system32\sszvq.exe moved successfully.
C:\WINDOWS\system32\gjt.exe moved successfully.
C:\WINDOWS\system32\slgfkcpx.exe moved successfully.
C:\WINDOWS\system32\ttjz.exe moved successfully.
C:\WINDOWS\system32\rbadca.exe moved successfully.
C:\WINDOWS\system32\foii.exe moved successfully.

Created on 12/29/2007 17:21:30
0
Réponse 37 / 41
titeufauplat
29 déc. 2007 à 19:12
autre soucy : impossible d installer spywareblaster a cause d un virus d apres la fenetre d affichage qui s affiche apres
0
Réponse 38 / 41
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 déc. 2007 à 20:43
ne navigue plus avec internet explorer mais avec firefox ou opera:

http://www.mozilla-europe.org/fr/products/firefox/

______________________

recolle un rapport hiajckthis et dis tes pb
0
Réponse 39 / 41
titeufauplat
30 déc. 2007 à 11:52
toujours un message d erreur lorsque je veux installer spywreblaster, voici jack :
Logfile of HijackThis v1.99.1
Scan saved at 11:51:14, on 30/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\eden\test.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\Mrshield.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3CDA73FC-13D6-4794-B732-1D3A02FE7461} - C:\WINDOWS\System32\jkkji.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7A5565EF-A594-46E4-AF56-FE71AEAFD7D5} - C:\WINDOWS\system32\gebbxyw.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [7495a944] rundll32.exe "C:\WINDOWS\System32\hhlbgbur.dll",b
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: reminder-Enregistrement du produit ScanSoft.lnk = C:\Program Files\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: gebbxyw - C:\WINDOWS\SYSTEM32\gebbxyw.dll
O20 - Winlogon Notify: opnmkkj - C:\WINDOWS\SYSTEM32\opnmkkj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Micr0s0ft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\sxch0st.exe (file missing)
O23 - Service: Microsoft register shield - Unknown owner - C:\WINDOWS\Mrshield.exe
O23 - Service: navapsvc - Unknown owner - C:\WINDOWS\navapsvc.exe (file missing)
O23 - Service: Windows .NET Service - Unknown owner - C:\WINDOWS\netserv.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
0
Réponse 40 / 41
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 déc. 2007 à 18:57
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\Mrshield.exe

O2 - BHO: (no name) - {3CDA73FC-13D6-4794-B732-1D3A02FE7461} - C:\WINDOWS\System32\jkkji.dll

O2 - BHO: (no name) - {7A5565EF-A594-46E4-AF56-FE71AEAFD7D5} - C:\WINDOWS\system32\gebbxyw.dll

O4 - HKLM\..\Run: [7495a944] rundll32.exe "C:\WINDOWS\System32\hhlbgbur.dll",b

O4 - Startup: reminder-Enregistrement du produit ScanSoft.lnk = C:\Program Files\Caere\OmniPagePro90\EREG\REMIND32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O20 - Winlogon Notify: gebbxyw - C:\WINDOWS\SYSTEM32\gebbxyw.dll
O20 - Winlogon Notify: opnmkkj - C:\WINDOWS\SYSTEM32\opnmkkj.dll


________________________


Relance Vundofix

* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\gebbxyw.dll
C:\WINDOWS\System32\jkkji.dll
C:\WINDOWS\System32\hhlbgbur.dll
C:\WINDOWS\SYSTEM32\opnmkkj.dll
C:\WINDOWS\SYSTEM32\gebbxyw.dll


* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis
0

Discussions similaires

comment utiliser un lien MEGA pour télécharger un fichier ?
mister31 -
dugenou -

1 réponse
Je n'arrive pas a ouvrir des liens MEGA
Stormys -
mpuissance4 -

7 réponses
Partager un dossier en lecture seule sur MEGA
Ximmam -
Utilisateur anonyme -

1 réponse
MEGA ne démarre pas
MargauxSca10 -
ziggourat -

2 réponses
Je demande code de méga gratuit sur orange Burkina
josuekambou -
HelpiOS -

4 réponses