Virus connus...

Question

Bonjour,

Voila j'ai depuis une semaine au moins un virus, je crois qu'il s'appel "Virtumonde" et impossible de l'enlever !!!

Avast ne le trouve même pas, Spybot le trouve mais ne l'enlève pas, j'ai fait un ccleaner mais sans succés, Ad-aware ne le trouve pas non plus ,et j'ai fait une analyse avec "Vundo Fix" qui ma trouver 3 fichiers mais n'arrive pas a les enlever !!!

Les 3 fichier sont : c:Windows/system32/ghkmp.ini
                                                                /ghkmp.ini2
                                                                /pmkhg.dll

Et lorsque je redémarre mon pc, il y a une commande ms-dos qui est ouverte sans rien écrit à l'intérieur et elle s'appel "pmkhg.dll" !!!!


J'ai fait plusiseur rapport hijackthis et sa ne les enlève pas pour autant !!!!

Je suis a cours d'idées la, merci par avance de m'aider à enlever ces trucs !!!!!!

philae83 · Answer

bonjour,

fait ceci :
IMPORTANT :
Ne pas désactiver la restauration système, tant que le pc n'est pas propre. merci

* Télécharge  HijackThis  et poste le rapport stp
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

* Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici

ensuite

* Télécharge VundoFix.exe (par Atribune) sur ton Bureau

http://www.atribune.org/ccount/click.php?id=4

 * Double-clique VundoFix.exe afin de le lancer

* Clique sur le bouton Scan for Vundo

* Lorsque le scan est complété, clique sur le bouton Remove Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

 
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Flipmode Squad · Answer

ok voila les résultats :

rapport hijack this :

Logfile of HijackThis v1.99.1
Scan saved at 19:42:25, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmsgr .exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.953\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
F3 - REG:win.ini: load=C:\WINDOWS\system32\pmkhg.exe
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe




et voila le rapport "Vundo Fix" :


VundoFix V6.7.7

Checking Java version...

Scan started at 11:23:30 06/01/2008

Listing files found while scanning....

C:\WINDOWS\system32\icdwrgwn.ini
C:\WINDOWS\system32\jkkkjgg.dll
C:\WINDOWS\system32\khfgecc.dll
C:\WINDOWS\system32
wgrwdci.dll
C:\WINDOWS\system32\pmkhg.dll
C:\WINDOWS\system32\pxbfxhci.dll
C:\WINDOWS\system32\uriunhoh.dll
C:\WINDOWS\system32\vtsqo.dll

Beginning removal...

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\icdwrgwn.ini
C:\WINDOWS\system32\icdwrgwn.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jkkkjgg.dll
C:\WINDOWS\system32\jkkkjgg.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\khfgecc.dll
C:\WINDOWS\system32\khfgecc.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmkhg.dll
C:\WINDOWS\system32\pmkhg.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.7

Checking Java version...

Scan started at 11:44:18 06/01/2008

Listing files found while scanning....

C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\ghkmp.ini2
C:\WINDOWS\system32\pmkhg.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\ghkmp.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ghkmp.ini2
C:\WINDOWS\system32\ghkmp.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmkhg.dll
C:\WINDOWS\system32\pmkhg.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

VundoFix V6.7.7

Checking Java version...

Scan started at 13:56:11 06/01/2008

Listing files found while scanning....

C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\ghkmp.ini2
C:\WINDOWS\system32\pmkhg.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\ghkmp.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ghkmp.ini2
C:\WINDOWS\system32\ghkmp.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmkhg.dll
C:\WINDOWS\system32\pmkhg.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\ghkmp.ini Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ghkmp.ini2
C:\WINDOWS\system32\ghkmp.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\pmkhg.dll
C:\WINDOWS\system32\pmkhg.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Flipmode Squad · Answer

c'est grave docteur ???    :)

philae83 · Answer

bonsoir

avec un peu de retard désolée, reposte un nouveau rapport hijackthis stp pour la suite à donner

Flipmode Squad · Answer

Logfile of HijackThis v1.99.1
Scan saved at 22:55:13, on 07/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\msnmsgr .exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\Rar$EX00.656\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
F3 - REG:win.ini: load=C:\WINDOWS\system32\pmkhg.exe
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

philae83 · Answer

ok

il faudra prendre la dernière version d'hijackthis stp
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

ensuite fait ceci :

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT

*désactive ton antivirus, antispyware, et spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite
puis

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Flipmode Squad · Answer

ComboFix 08-01-07.5 - Propriétaire 2008-01-07 23:07:37.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.506 [GMT 1:00] Running from: C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6H6CCB8H\ComboFix[1].exe * Created a new restore point . /wow section - STAGE 34 (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Propriétaire\Application Data\PPATCH~1 C:\Documents and Settings\Propriétaire\Mes documents\ICROSO~1 C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\b122.exe C:\WINDOWS\b151.exe C:\WINDOWS\system32\awtqn.exe C:\WINDOWS\system32\ctfmon.exe.tmp C:\WINDOWS\system32\gbutedgf.dll C:\WINDOWS\system32\ghkmp.ini C:\WINDOWS\system32\ghkmp.ini2 C:\WINDOWS\system32\ichxfbxp.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32 qtwa.ini C:\WINDOWS\system32 qtwa.ini2 C:\WINDOWS\system32\pmkhg.dll C:\WINDOWS\system32\pmkhg.exe [code]

C:\Program Files\MSN Messenger\msnmsgr .exe ---> msnmsgr.exe

[/code] . . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-07 to 2008-01-07 )))))))))))))))))))))))))))))))))))) . 2008-01-07 23:06 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-07 23:04 . 2008-01-07 23:04 d-------- C:\Program Files\Trend Micro 2008-01-06 11:23 . 2008-01-06 23:29 d-------- C:\VundoFix Backups 2008-01-06 11:17 . 2008-01-06 11:17 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe 2008-01-05 12:35 . 2008-01-05 12:35 d-------- C:\Documents and Settings\LocalService\Bureau 2008-01-05 12:33 . 2008-01-05 12:33 d-------- C:\Documents and Settings\LocalService\Application Data\PC Tools 2008-01-05 12:33 . 2008-01-03 21:54 607 --a------ C:\WINDOWS\win.tmp 2008-01-05 12:33 . 2008-01-03 21:54 255 --a------ C:\WINDOWS\system.tmp 2008-01-04 23:19 . 2008-01-04 23:19 dr------- C:\Documents and Settings\LocalService\Favoris 2008-01-04 23:11 . 2008-01-07 23:12 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-04 20:58 . 2008-01-04 20:58 d-------- C:\Documents and Settings\All Users\Application Data\ESET 2008-01-04 20:44 . 2008-01-06 10:41 d-------- C:\Program Files\Spyware Doctor 2008-01-04 20:44 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2008-01-04 20:44 . 2008-01-04 20:46 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-01-04 20:44 . 2008-01-04 20:46 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-01-04 20:44 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-01-04 20:44 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-01-01 12:59 . 2008-01-01 15:45 d-------- C:\Program Files\kernel 2008-01-01 12:55 . 2008-01-01 12:55 39,424 --a------ C:\WINDOWS\system32\mljiffc.dll.vir 2007-12-31 10:29 . 2008-01-05 12:40 d-------- C:\Program Files\EA SPORTS 2007-12-20 18:43 . 2007-12-20 18:43 d-------- C:\Program Files\Fichiers communs\DirectX 2007-12-20 18:41 . 2008-01-01 12:39 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2007-12-20 17:49 . 2007-12-20 17:49 d-------- C:\Program Files\THQ . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-07 22:11 --------- d-----w C:\Program Files\MSN Messenger 2008-01-07 08:48 --------- d-----w C:\Program Files\eMule 2008-01-06 11:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-05 11:52 --------- d-----w C:\Program Files\RegClean 2008-01-03 21:02 --------- d-----w C:\Program Files\AxBx 2007-12-20 16:49 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-09 18:57 --------- d-----w C:\Program Files\Winamp 2007-12-02 12:24 --------- d-----w C:\Program Files\PacificPoker4 2007-12-01 06:26 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-12-01 06:26 71,749 ----a-w C:\WINDOWS\hcextoutput.dll 2007-12-01 06:26 69,689 ----a-w C:\WINDOWS\UNZIP.DLL 2007-12-01 06:26 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL 2007-12-01 06:26 286,720 ----a-w C:\WINDOWS\PATCH.EXE 2007-12-01 06:26 267,845 ----a-w C:\WINDOWS sc.exe 2007-12-01 06:26 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-11-25 19:58 --------- d-----w C:\Program Files\QuickTime 2007-11-18 20:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-11-18 20:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield 2007-11-18 20:45 --------- d-----w C:\Program Files\DAEMON Tools 2007-11-18 20:38 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-10-14 06:00 12,373,255 ------w C:\AVG7QT.DAT . [code]

----a-w            15,360 2008-01-06 10:17:27  C:\WINDOWS\system32\ctfmon .exe

[/code] ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

Flipmode Squad · Answer

Voila un nouveau rapport hijackthis avec la nouvelle version :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:17, on 2008-01-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

philae83 · Answer

bonsoir,

le rapport de combo n'est pas complet, reposte le  rapport complet stp (le même)
C:\Combofix.txt

Flipmode · Answer

ComboFix 08-01-07.5 - Propriétaire 2008-01-07 23:07:37.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.506 [GMT 1:00] Running from: C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\6H6CCB8H\ComboFix[1].exe * Created a new restore point . /wow section - STAGE 34 (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Propriétaire\Application Data\PPATCH~1 C:\Documents and Settings\Propriétaire\Mes documents\ICROSO~1 C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\b122.exe C:\WINDOWS\b151.exe C:\WINDOWS\system32\awtqn.exe C:\WINDOWS\system32\ctfmon.exe.tmp C:\WINDOWS\system32\gbutedgf.dll C:\WINDOWS\system32\ghkmp.ini C:\WINDOWS\system32\ghkmp.ini2 C:\WINDOWS\system32\ichxfbxp.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32 qtwa.ini C:\WINDOWS\system32 qtwa.ini2 C:\WINDOWS\system32\pmkhg.dll C:\WINDOWS\system32\pmkhg.exe [code]

C:\Program Files\MSN Messenger\msnmsgr .exe ---> msnmsgr.exe

[/code] . . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-07 to 2008-01-07 )))))))))))))))))))))))))))))))))))) . 2008-01-07 23:06 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-07 23:04 . 2008-01-07 23:04 d-------- C:\Program Files\Trend Micro 2008-01-06 11:23 . 2008-01-06 23:29 d-------- C:\VundoFix Backups 2008-01-06 11:17 . 2008-01-06 11:17 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe 2008-01-05 12:35 . 2008-01-05 12:35 d-------- C:\Documents and Settings\LocalService\Bureau 2008-01-05 12:33 . 2008-01-05 12:33 d-------- C:\Documents and Settings\LocalService\Application Data\PC Tools 2008-01-05 12:33 . 2008-01-03 21:54 607 --a------ C:\WINDOWS\win.tmp 2008-01-05 12:33 . 2008-01-03 21:54 255 --a------ C:\WINDOWS\system.tmp 2008-01-04 23:19 . 2008-01-04 23:19 dr------- C:\Documents and Settings\LocalService\Favoris 2008-01-04 23:11 . 2008-01-07 23:12 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-04 20:58 . 2008-01-04 20:58 d-------- C:\Documents and Settings\All Users\Application Data\ESET 2008-01-04 20:44 . 2008-01-06 10:41 d-------- C:\Program Files\Spyware Doctor 2008-01-04 20:44 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2008-01-04 20:44 . 2008-01-04 20:46 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-01-04 20:44 . 2008-01-04 20:46 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-01-04 20:44 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-01-04 20:44 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-01-01 12:59 . 2008-01-01 15:45 d-------- C:\Program Files\kernel 2008-01-01 12:55 . 2008-01-01 12:55 39,424 --a------ C:\WINDOWS\system32\mljiffc.dll.vir 2007-12-31 10:29 . 2008-01-05 12:40 d-------- C:\Program Files\EA SPORTS 2007-12-20 18:43 . 2007-12-20 18:43 d-------- C:\Program Files\Fichiers communs\DirectX 2007-12-20 18:41 . 2008-01-01 12:39 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2007-12-20 17:49 . 2007-12-20 17:49 d-------- C:\Program Files\THQ . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-07 22:11 --------- d-----w C:\Program Files\MSN Messenger 2008-01-07 08:48 --------- d-----w C:\Program Files\eMule 2008-01-06 11:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-05 11:52 --------- d-----w C:\Program Files\RegClean 2008-01-03 21:02 --------- d-----w C:\Program Files\AxBx 2007-12-20 16:49 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-09 18:57 --------- d-----w C:\Program Files\Winamp 2007-12-02 12:24 --------- d-----w C:\Program Files\PacificPoker4 2007-12-01 06:26 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-12-01 06:26 71,749 ----a-w C:\WINDOWS\hcextoutput.dll 2007-12-01 06:26 69,689 ----a-w C:\WINDOWS\UNZIP.DLL 2007-12-01 06:26 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL 2007-12-01 06:26 286,720 ----a-w C:\WINDOWS\PATCH.EXE 2007-12-01 06:26 267,845 ----a-w C:\WINDOWS sc.exe 2007-12-01 06:26 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-11-25 19:58 --------- d-----w C:\Program Files\QuickTime 2007-11-18 20:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2007-11-18 20:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield 2007-11-18 20:45 --------- d-----w C:\Program Files\DAEMON Tools 2007-11-18 20:38 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-10-14 06:00 12,373,255 ------w C:\AVG7QT.DAT . [code]

----a-w            15,360 2008-01-06 10:17:27  C:\WINDOWS\system32\ctfmon .exe

[/code] ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s voila c'est tous se que j'ai par contre depuis que j'ai scanner avec "combo fix", j'ai une icone Internet explorer qui est apparue sur mon bureau !!!! moi j'avai l'icone Internet explorer ke j'ai renommer Internet et maintenant en plus il y a une Internet explorer !!!??????

philae83 · Answer

tu es infecté par le nouveau vundo. 

On va faire de notre mieux

Télécharge RenV.exe d'sUBs sur ton Bureau:

http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

Double-clique sur RenV.exe pour le lancer, et patiente.

Un rapport, log.txt, sera crée, et s'ouvrira à la fin du scan, poste le en réponse.

ffadictt · Answer

bonsoir ,
dsl de vous deranger mai sa fai plusieur jour ke mon pc rame kan je me connecte sur internet c de ma faute je nai pa renouvler mon antivirus a tps le pblm maintenan c ke jpe pratikemen + rien faire pck sa me prend un tps fou ===> du coup + de counter ni gw .
jai besoin daide koi avan sa se faisai en moi dune minute maintenan je doi attendre longtemp et chui pa sur ke sa marche
detail ptetre important jai un ping de ouf !

Flipmode · Answer

[code]
Ran on 2008-01-08 -  6:53:30.26

----a-w            15,360 2008-01-06 10:17:27  C:\WINDOWS\system32\ctfmon .exe

 Entries:                1  (1)
 Directories:            0  Files:             1
 Bytes:             15,360  Blocks:           30
[/code]

Flipmode · Answer

Alors sa te dit quelques chose ???

Au faite sa peu venir d'ou que j'ai ces virus ???

philae83 · Answer

bonsoir,

je viens d'arriver, je te prépare la suite à donner

quant à savoir d'où ça provient, je te dirais qu'il faudrait faire plus attention à tes surfs, ne pas faire de téléchargement et apprendre à protéger son pc

je reviens

philae83 · Answer

re

Créé un fichier Bloc Notes avec le texte qui se trouve en citation

C:\WINDOWS\system32\ctfmon .exe 

# Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
# Choisis "Enregistrer sous" et choisis "Bureau"
# Dans le champs "Nom du fichier" en bas de page donne le nom suivant:Log.txt
# Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
# Quitte le Bloc Notes.
# Fait un glisser/déposer de ce fichier Log.txt sur le fichier RenV.exe comme sur la capture d'écran
https://www.enregistrersous.com/

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Virus connus...

16 réponses

Votre réponse

Discussions similaires

Newsletters