Sujet Précédent Sujet Suivant

Infections searchdaily+DropperAgent+TrojanBHO

yatko Messages postés 8 Statut Membre -  
unior Messages postés 290 Statut Membre -
Bonjour,

Depuis quelques temps, AVG Antispyware, et le scanner en ligne de bitdefender me détectent 2 virus : Dropper.Agent.dgo et Trojan.BHO.agz, bien qu' ils effectuent les actions nécessaires, les virus réapparaissent à chaque fois.

Par ailleurs, lors de recherches sur Google je suis constamment redirigé vers www.search-daily.com..

Pouvez-vous m'indiquer la manipulation à suivre pour me débarasser définitivement de ces virus ?

Voici les rapports Hijackthis et AVG Antispyware

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:09, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon .exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Documents and Settings\ben\Bureau\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutt.exe
O2 - BHO: (no name) - {633E30B6-EC2E-4848-82E9-CE2EA24ADB8D} - C:\WINDOWS\system32\wmpshel.dll
O2 - BHO: (no name) - {736C5154-F7D3-4BD4-ACB7-F878ABF2F7C1} - C:\WINDOWS\system32\vtutt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [7Q6b4XftoJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O8 - Extra context menu item: Microsoft Excel'e Gö&nder - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/ben/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

14 réponses

Réponse 1 / 14
unior Messages postés 290 Statut Membre 7
 
Si tu est redirigé vers daily.com vois ça :
http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/google-explorer-search-sujet_34769_1.htm

++
Unior.
0
Réponse 2 / 14
yatko Messages postés 8 Statut Membre
 
J'ai suivi ce la procédure indiquée mais search-daily s'affiche toujours..
Par ailleurs les virus cité plus hauts sont toujours présent dans mon ordinateur.
Que faire ?
0
Réponse 3 / 14
unior Messages postés 290 Statut Membre 7
 
Essaie cette résolution :
http://209.85.135.104/search?q=cache:uG913S9HWNcJ:www.commentcamarche.net/forum/affich 3977507 c windows system32 vtutt dll+C:%5CWINDOWS%5Csystem32%5Cvtutt.dll&hl=fr&ct=clnk&cd=1&gl=fr

Pour les autres je cherche toujours..
0
Réponse 4 / 14
yatko Messages postés 8 Statut Membre
 
J'ai suivi les instructions, seulement comme les noms de fichiers infectés dans mon ordinateur sont différents de ceux de la résolution jointe, je ne sais pas quels fichiers et clé de registres je dois copier dans le document texte a renommer en CFScript, avant de relancer Combofix.
Je te mets un rapport Combifix, peux-tu me dire quels fichiers je dois copier en texte (CFScript) ? Merci d'avance

ComboFix 08-01-07.5 - ben 2008-01-13 14:32:02.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.65 [GMT 1:00]
Running from: C:\Documents and Settings\ben\Bureau\Combofix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\.protected
C:\Documents and Settings\ben\Application Data.\Ultimate Cleaner
C:\Documents and Settings\ben\Application Data.\Ultimate Cleaner\settings.dat
C:\Documents and Settings\ben\Application Data\antivirus.exe
C:\Documents and Settings\ben\Application Data\Ultimate Cleaner\settings.dat
C:\Documents and Settings\ben\Application Data\ultra
C:\Documents and Settings\ben\Application Data\ultra\uninstall.bat
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
C:\WINDOWS\.protected
C:\WINDOWS\PerfInfo
C:\WINDOWS\PerfInfo\7Q6b4XftoJuc.exe
C:\WINDOWS\PerfInfo\7Q6b4XftoJud(2).exe
C:\WINDOWS\PerfInfo\7Q6b4XftoJud.exe
C:\WINDOWS\PerfInfo\dO7HC1hs6Ruc.exe
C:\WINDOWS\PerfInfo\dO7HC1hs6Rud.exe
C:\WINDOWS\ppqvmpqr
C:\WINDOWS\ppqvmpqr\1.png
C:\WINDOWS\ppqvmpqr\2.png
C:\WINDOWS\ppqvmpqr\3.png
C:\WINDOWS\ppqvmpqr\4.png
C:\WINDOWS\ppqvmpqr\5.png
C:\WINDOWS\ppqvmpqr\6.png
C:\WINDOWS\ppqvmpqr\bottom-rc.gif
C:\WINDOWS\ppqvmpqr\content.png
C:\WINDOWS\ppqvmpqr\download.gif
C:\WINDOWS\ppqvmpqr\frame-bottom-left.gif
C:\WINDOWS\ppqvmpqr\frame-h1bg.gif
C:\WINDOWS\ppqvmpqr\head.png
C:\WINDOWS\ppqvmpqr\indexuc.html
C:\WINDOWS\ppqvmpqr\indexud.html
C:\WINDOWS\ppqvmpqr\main.css
C:\WINDOWS\ppqvmpqr\net.png
C:\WINDOWS\ppqvmpqr\pc-mag.gif
C:\WINDOWS\ppqvmpqr\pc.gif
C:\WINDOWS\ppqvmpqr\poloska1.png
C:\WINDOWS\ppqvmpqr\poloska2.png
C:\WINDOWS\ppqvmpqr\poloska3.png
C:\WINDOWS\ppqvmpqr\promouc1.html
C:\WINDOWS\ppqvmpqr\promouc2.html
C:\WINDOWS\ppqvmpqr\promouc3.html
C:\WINDOWS\ppqvmpqr\promouc4.html
C:\WINDOWS\ppqvmpqr\promouc5.html
C:\WINDOWS\ppqvmpqr\promoud1.html
C:\WINDOWS\ppqvmpqr\promoud2.html
C:\WINDOWS\ppqvmpqr\promoud3.html
C:\WINDOWS\ppqvmpqr\promoud4.html
C:\WINDOWS\ppqvmpqr\promoud5.html
C:\WINDOWS\ppqvmpqr\reg.png
C:\WINDOWS\ppqvmpqr\repair.png
C:\WINDOWS\ppqvmpqr\scr-1.png
C:\WINDOWS\ppqvmpqr\scr-2.png
C:\WINDOWS\ppqvmpqr\styles.css
C:\WINDOWS\ppqvmpqr\top-rc.gif
C:\WINDOWS\ppqvmpqr\vline.gif
C:\WINDOWS\system32\45765nf.dll
C:\WINDOWS\system32\drivers\etc\.protected
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ndaTqsVqrX.dll
C:\WINDOWS\system32\ttutv.ini
C:\WINDOWS\system32\ttutv.ini2
C:\WINDOWS\system32\vtutt.dll
C:\WINDOWS\system32\vtutt.exe

[code] <pre>
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe ---> avgas.exe
</pre> [/code]
.
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-13 to 2008-01-13 ))))))))))))))))))))))))))))))))))))
.

2008-01-13 04:28 . 2008-01-13 04:29 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-01-12 14:43 . 2008-01-12 14:43 588,644 --a------ C:\upload_moi_ARNAS.tar.gz
2008-01-12 14:33 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-12 14:33 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-12 14:33 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-12 14:33 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-12 14:33 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-12 14:33 . 2008-01-12 14:34 1,510 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-11 21:20 . 2004-08-19 16:10 380,928 --------- C:\WINDOWS\system32\irprops.cpl
2008-01-11 21:13 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\[u]0[/u]02475_.tmp
2008-01-11 03:58 . 2004-08-19 16:09 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2008-01-11 03:58 . 2004-08-19 16:09 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-01-11 03:48 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-01-11 03:11 . 2001-08-23 17:47 99,865 --a------ C:\WINDOWS\system32\dllcache\xlog.exe
2008-01-11 03:11 . 2001-08-23 17:47 27,648 --a------ C:\WINDOWS\system32\dllcache\xrxftplt.exe
2008-01-11 03:11 . 2001-08-23 17:47 23,040 --a------ C:\WINDOWS\system32\dllcache\xrxwbtmp.dll
2008-01-11 03:11 . 2001-08-23 17:47 17,408 --a------ C:\WINDOWS\system32\dllcache\xrxscnui.dll
2008-01-11 03:11 . 2001-08-17 20:11 16,970 --a------ C:\WINDOWS\system32\dllcache\xem336n5.sys
2008-01-11 03:11 . 2001-08-23 17:47 4,608 --a------ C:\WINDOWS\system32\dllcache\xrxflnch.exe
2008-01-11 03:09 . 2001-08-23 17:18 899,914 --a------ C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-01-11 03:08 . 2003-04-24 20:00 1,875,968 --a------ C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-01-11 03:07 . 2003-04-24 20:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-01-11 03:06 . 2003-04-24 20:00 1,677,824 --a------ C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-01-11 03:05 . 2001-08-23 17:47 2,134,528 --a------ C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2008-01-11 03:05 . 2001-08-17 21:28 762,780 --a------ C:\WINDOWS\system32\dllcache\3cwmcru.sys
2008-01-11 03:05 . 2001-08-23 17:46 689,216 --a------ C:\WINDOWS\system32\dllcache\3dfxvs.dll
2008-01-11 03:05 . 2001-08-23 17:47 175,104 --a------ C:\WINDOWS\system32\dllcache\EXCH_smtpadm.dll
2008-01-11 03:05 . 2001-08-17 20:48 148,352 --a------ C:\WINDOWS\system32\dllcache\3dfxvsm.sys
2008-01-11 03:05 . 2001-08-23 17:46 66,048 --a------ C:\WINDOWS\system32\dllcache\s3legacy.dll
2008-01-11 03:05 . 2001-08-17 22:06 11,264 --a------ C:\WINDOWS\system32\dllcache\1394vdbg.sys
2008-01-11 02:50 . 2008-01-11 02:50 <REP> d-------- C:\Program Files\Navilog1
2008-01-11 02:36 . 2004-08-03 23:15 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-01-11 02:36 . 2004-08-03 23:15 140,928 --a------ C:\WINDOWS\system32\drivers\ks.sys
2008-01-11 02:36 . 2004-08-19 16:10 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-01-11 02:36 . 2004-08-03 23:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-01-11 02:36 . 2004-08-03 23:08 48,640 --a------ C:\WINDOWS\system32\drivers\stream.sys
2008-01-11 02:36 . 2004-08-19 16:09 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-01-10 23:35 . 2001-07-21 22:40 3,144 --a------ C:\WINDOWS\system32\dllcache\srgb.icm
2008-01-10 23:31 . 2007-07-30 19:19 1,712,984 --a------ C:\WINDOWS\system32\wuaueng.dll
2008-01-10 23:29 . 2004-08-03 23:10 85,376 --a------ C:\WINDOWS\system32\drivers\nabtsfec.sys
2008-01-10 23:29 . 2004-08-03 23:07 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2008-01-10 23:29 . 2004-08-03 23:10 19,328 --a------ C:\WINDOWS\system32\drivers\wstcodec.sys
2008-01-10 23:29 . 2004-08-03 23:10 17,024 --a------ C:\WINDOWS\system32\drivers\ccdecode.sys
2008-01-10 23:29 . 2004-08-03 23:07 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2008-01-10 23:29 . 2004-08-03 22:58 5,504 --a------ C:\WINDOWS\system32\drivers\mstee.sys
2008-01-10 23:25 . 2004-08-19 15:54 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-01-10 22:05 . 2003-04-24 20:00 1,086,182 -ra------ C:\WINDOWS\SET3A.tmp
2008-01-10 22:05 . 2003-04-24 20:00 13,923 -ra------ C:\WINDOWS\SET46.tmp
2008-01-10 21:39 . 2004-08-19 16:10 40,840 --a------ C:\WINDOWS\system32\drivers\termdd.sys
2008-01-10 21:38 . 2003-04-24 20:00 1,086,182 -ra------ C:\WINDOWS\SET5D.tmp
2008-01-10 21:38 . 2004-08-19 16:10 146,944 --a------ C:\WINDOWS\system\winspool.drv
2008-01-10 21:38 . 2004-08-19 16:09 76,800 --a------ C:\WINDOWS\system32\storprop.dll
2008-01-10 21:38 . 2003-04-24 20:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2008-01-10 21:38 . 2003-04-24 20:00 24,661 --a------ C:\WINDOWS\system32\dllcache\spxcoins.dll
2008-01-10 21:38 . 2003-04-24 20:00 13,923 -ra------ C:\WINDOWS\SET69.tmp
2008-01-10 21:38 . 2003-04-24 20:00 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2008-01-10 21:38 . 2003-04-24 20:00 13,312 --a------ C:\WINDOWS\system32\dllcache\irclass.dll
2008-01-10 21:38 . 2004-08-03 23:00 11,264 --a------ C:\WINDOWS\system32\drivers\irenum.sys
2008-01-10 15:20 . 2008-01-10 15:20 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-10 05:15 . 2008-01-10 05:15 <REP> d-------- C:\VundoFix Backups
2008-01-10 04:19 . 2008-01-10 04:19 <REP> d--hs---- C:\FOUND.001
2008-01-09 02:16 . 2008-01-09 02:16 8,000 --a------ C:\WINDOWS\setupapi.old
2008-01-08 23:19 . 2008-01-08 23:28 250 --a------ C:\WINDOWS\gmer.ini
2008-01-08 20:58 . 2008-01-08 20:58 <REP> d-------- C:\Documents and Settings\ben\Application Data\Grisoft
2008-01-08 20:57 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-08 02:31 . 2008-01-08 02:31 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-01-07 18:18 . 2008-01-08 00:22 474 ---hs---- C:\WINDOWS\system32\ocpmuufj.ini
2008-01-02 00:04 . 2008-01-02 10:45 319 --ahs---- C:\WINDOWS\system32\vyadd.ini
2008-01-01 13:47 . 2008-01-01 13:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-31 23:12 . 2007-12-31 23:12 <REP> d-------- C:\Program Files\Alwil Software
2007-12-30 17:31 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-30 15:52 . 2008-01-12 15:04 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
2007-12-30 10:43 . 2008-01-01 13:43 89 --a------ C:\WINDOWS\system32\config.xml
2007-12-30 10:39 . 2007-12-30 10:39 22,528 --a------ C:\WINDOWS\system32\ripa.dll
2007-12-30 10:36 . 2008-01-08 00:22 400,896 --a------ C:\WINDOWS\system32\cmd .exe
2007-12-30 10:36 . 2007-12-30 15:52 221,184 --a------ C:\WINDOWS\system32\LVCOMSX .EXE
2007-12-29 23:25 . 2008-01-08 00:22 319 --ahs---- C:\WINDOWS\system32\ttvwa.ini
2007-12-29 22:39 . 2007-12-29 22:39 <REP> d-------- C:\Program Files\Google
2007-12-29 22:20 . 19,456 C:\WINDOWS\system32\drivers\oanfozeo.dat
2007-12-29 22:19 . 2004-08-11 20:49 84,992 --a------ C:\WINDOWS\system32\wmpshel.dll
2007-12-29 22:16 . 2007-12-29 22:16 0 --a------ C:\Install
2007-12-29 22:11 . 2007-12-29 22:11 <REP> d--hs---- C:\WINDOWS\ftpcache
2007-12-27 19:03 . 2007-12-27 19:03 <REP> d-------- C:\Documents and Settings\ben\Application Data\dvdcss

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-12 15:44 --------- d-----w C:\Program Files\Samsung
.
[code]<pre>
----a-w 221,184 2007-12-30 14:52:00 C:\WINDOWS\system32\LVCOMSX .EXE
----a-w 400,896 2008-01-07 23:22:38 C:\WINDOWS\system32\cmd .exe
----a-w 15,360 2008-01-12 14:04:20 C:\WINDOWS\system32\ctfmon .exe
----a-w 4,247,552 2007-12-30 14:52:12 C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag .exe
----a-w 1,460,560 2008-01-01 20:13:10 C:\Program Files\Spybot - Search & Destroy\TeaTimer .exe
----a-w 68,856 2007-12-30 14:52:24 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
</pre>[/code]

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{633E30B6-EC2E-4848-82E9-CE2EA24ADB8D}]
2004-08-11 20:49 84992 --a------ C:\WINDOWS\system32\wmpshel.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-04-01 16:16 5562368]
"nwiz"="nwiz.exe" [2005-04-01 16:16 1495040 C:\WINDOWS\system32\nwiz.exe]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe" [ ]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll, wowfx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
-ra------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2004-12-06 21:31 36975 C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2005-06-21 21:05 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

R0 fcqsrrjt;fcqsrrjt;C:\WINDOWS\system32\drivers\oanfozeo.dat []
S3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 19:54]
S3 PEEK5;PEEK5 Protocol Driver;C:\DOCUME~1\ben\Bureau\WINAIR~1\PEEK5.SYS []
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-03 23:04]
S3 WLAN_USB;Wireless LAN USB Driver;C:\WINDOWS\system32\DRIVERS\MA111nd5.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 14:38:18
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-13 14:39:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-13 13:39:06
.
2007-10-24 10:59:34 --- E O F ---
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
unior Messages postés 290 Statut Membre 7
 
Copie ça comme sur l'autre sujet je pense car la racine est mise sur system32 : 

Registry::
[-HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f25cc24c-b7d0-45c8-97c3-5cfb4b06bf04}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Updeta"=-
"1465c3cf"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Updeta"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Windows Updeta"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft Windows Updeta"=-

File::
C:\WINDOWS\system32\xhvmkwpg.dll
C:\WINDOWS\system32\krlfwmfx.dll
C:\WINDOWS\system32\dyvhkp.exe


Si ça ne marche pas je ne sais plus quoi faire pr le trojan ......
0
Réponse 6 / 14
unior Messages postés 290 Statut Membre 7
 
Note que ce fichier est qd même sur le C:\ 

C:\upload_moi_ARNAS.tar.gz
0
Réponse 7 / 14
yatko Messages postés 8 Statut Membre
 
Salut,

J'ai copié les clés de registres et les fichiers .dll indiqués et supprimé C:\upload_moi_ARNAS.tar.gz
AVG ne me detecte plus Dropper.Agent, par contre il détecte toujours Trojan.BHO dans le fichier C:\WINDOWS\system32\wmpshel.dll pourtant supprimé.
Sinon j'ai toujours search-daily qui s'affiche lors de recherches google, ainsi que des pubs pour antivirus qui apparaissent en bas à droite dans la barre des taches..
Comment me débarraser de tout ça...
0
Réponse 8 / 14
unior Messages postés 290 Statut Membre 7
 
Je continue à chercher (je n'ai pas trop de temps en ce moment désolé).. pour dropper c'est déjà ça !

->Je te tiens au courant pr trojan.BHO

->Et aussi daily....
0
Réponse 9 / 14
unior Messages postés 290 Statut Membre 7
 
re,

Fix ces lignes:

F3 - REG:win.ini: load=C:\WINDOWS\system32\vtutt.exe
O2 - BHO: (no name) - {633E30B6-EC2E-4848-82E9-CE2EA24ADB8D} - C:\WINDOWS\system32\wmpshel.dll
O2 - BHO: (no name) - {736C5154-F7D3-4BD4-ACB7-F878ABF2F7C1} - C:\WINDOWS\system32\vtutt.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Policies\Explorer\Run: [7Q6b4XftoJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer

-> Redémarre puis Fais un scan hikackthis,

-> Et lance ccleaner pr nettoyer le registre et le reste.

vttutt est le doigt de trojanBHO , je trouverai le bras !
0
Réponse 10 / 14
yatko Messages postés 8 Statut Membre
 
Salut Unior,

Tout d'abord merci de m'aider en continuant à chercher.
Hijackthis n'affiche pas toutes les lignes que tu as citées plus haut, je te mets donc deux logs : un avant et un aprés avoir coché les lignes que tu m'as indiqué plus haut:

AVANT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25:58, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ben\Bureau\objet.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {633E30B6-EC2E-4848-82E9-CE2EA24ADB8D} - C:\WINDOWS\system32\wmpshel.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Microsoft Excel'e Gö&nder - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 11 / 14
yatko Messages postés 8 Statut Membre
 
Voici le log APRES avoir coché les lignes

O2 - BHO: (no name) - {633E30B6-EC2E-4848-82E9-CE2EA24ADB8D} - C:\WINDOWS\system32\wmpshel.dll est toujours la

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:52:09, on 19/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\devldr32.exe
C:\Documents and Settings\ben\Bureau\objet.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {633E30B6-EC2E-4848-82E9-CE2EA24ADB8D} - C:\WINDOWS\system32\wmpshel.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Microsoft Excel'e Gö&nder - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
unior Messages postés 290 Statut Membre 7
 
-> Fix ça :

O2 - BHO: (no name) - {633E30B6-EC2E-4848-82E9-CE2EA24ADB8D} - C:\WINDOWS\system32\wmpshel.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Microsoft Excel'e Gö&nder - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

-> Passe Ccleaner.
Et n'hésite pas à passer en guttman (X35) pr ccleaner et passer plusieurs fois ds le registre car certaines clés se réinitialisent .
0
Réponse 12 / 14
yatko Messages postés 8 Statut Membre
 
Aussi dans le premier lien que tu m'as indiqué pour enlever search-daily (http://forum.telecharger.01net.com/forum/
aprés avori supprimer le fichier C:\WINDOWS\system32\dx8vb.dll comme indiqué, j'ai constaté qu'a chaque redémarrage il en vient un nouveau avec un nom similaire du genre : dx7vb.dll, ou dx9vb.dll
0
unior Messages postés 290 Statut Membre 7
 
Pr ce processus apparement il n'est pas forcément lié à un virus mais à une application Windows plus généralement,
Ce doit être une version plus récente que tu as c'est tout donc abandon cette piste :(

je continue à chercher ne t'inquiète pas ;)
0
Réponse 13 / 14
yatko Messages postés 8 Statut Membre
 
Salut Unior,
J'ai fixé les lignes mais ça n'a toujours pas enlevé searchdaily...
Est-ce que tu as une autre solution ?
0
Réponse 14 / 14
unior Messages postés 290 Statut Membre 7
 
Je suis à court d'idée...
0