Infection: Virtumonde

Résolu
tomtom2005 Messages postés 190 Statut Membre -  
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Bonjour,
Suite à une contamination par le trojan "virtumonde", j'ai suivi les démarches a suivre pour l'éliminer:
- Vundofix
- Virtumundobego
- Et autres programmes ...

Mais rien a faire il est toujours là !

Ma question est que faire ?

Voici un rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:27, on 21/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SMC\EZ ConnectTM g 108Mbps Wireless USB Adapter\SMCWUSBT.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\vtstu.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [40274ff9] rundll32.exe "C:\WINDOWS\system32\onyhglre.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EZ ConnectTM g 108Mbps Wireless USB Utility.lnk = C:\Program Files\SMC\EZ ConnectTM g 108Mbps Wireless USB Adapter\SMCWUSBT.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 6190 bytes


Comme on peut le constater les ligne 02 et 20 sont absente malgré le changement du nom du logiciel.

Et voici un rapport Vundofix:

VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.2
Old versions of java are exploitable and should be removed.

Scan started at 19:35:18 20/01/2008

Listing files found while scanning....

C:\WINDOWS\SiSUSBrg.exe
C:\WINDOWS\system32\erpeksws.dll
C:\WINDOWS\system32\ljjhfgh.dll
C:\WINDOWS\system32\lorffiex.dll
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\qpuwotqj.dll
C:\windows\system32\qpuwotqj.dllbox
C:\WINDOWS\system32\ujbwqsni.dll
C:\WINDOWS\system32\utstv.ini
C:\WINDOWS\system32\utstv.ini2
C:\WINDOWS\system32\vtstu.dll
C:\WINDOWS\system32\vtstu.exe
C:\WINDOWS\system32\xeiffrol.ini

Beginning removal...

Attempting to delete C:\WINDOWS\SiSUSBrg.exe
C:\WINDOWS\SiSUSBrg.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\erpeksws.dll
C:\WINDOWS\system32\erpeksws.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ljjhfgh.dll
C:\WINDOWS\system32\ljjhfgh.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\lorffiex.dll
C:\WINDOWS\system32\lorffiex.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\NeroCheck.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\qpuwotqj.dll
C:\WINDOWS\system32\qpuwotqj.dll Has been deleted!

Attempting to delete C:\windows\system32\qpuwotqj.dllbox
C:\windows\system32\qpuwotqj.dllbox Has been deleted!

Attempting to delete C:\WINDOWS\system32\ujbwqsni.dll
C:\WINDOWS\system32\ujbwqsni.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\utstv.ini
C:\WINDOWS\system32\utstv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\utstv.ini2
C:\WINDOWS\system32\utstv.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\vtstu.dll
C:\WINDOWS\system32\vtstu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\vtstu.exe
C:\WINDOWS\system32\vtstu.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\xeiffrol.ini
C:\WINDOWS\system32\xeiffrol.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\ljjhfgh.dll
C:\WINDOWS\system32\ljjhfgh.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.2
Old versions of java are exploitable and should be removed.

Scan started at 14:11:00 21/01/2008

Listing files found while scanning....

C:\WINDOWS\system32\erlghyno.ini
C:\WINDOWS\system32\lidmlxms.exe
C:\WINDOWS\system32\ljjhfgh.dll
C:\WINDOWS\system32\njsaityb.dll
C:\WINDOWS\system32\onyhglre.dll
C:\WINDOWS\system32\ownzucua.dll
C:\windows\system32\ownzucua.dllbox
C:\WINDOWS\system32\vtstu.dll
C:\WINDOWS\system32\vtstu.exe
C:\WINDOWS\system32\yhuvumoa.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\erlghyno.ini
C:\WINDOWS\system32\erlghyno.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\lidmlxms.exe
C:\WINDOWS\system32\lidmlxms.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\ljjhfgh.dll
C:\WINDOWS\system32\ljjhfgh.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\njsaityb.dll
C:\WINDOWS\system32\njsaityb.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\onyhglre.dll
C:\WINDOWS\system32\onyhglre.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\ownzucua.dll
C:\WINDOWS\system32\ownzucua.dll Could not be deleted.

Attempting to delete C:\windows\system32\ownzucua.dllbox
C:\windows\system32\ownzucua.dllbox Has been deleted!

Attempting to delete C:\WINDOWS\system32\vtstu.dll
C:\WINDOWS\system32\vtstu.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\vtstu.exe
C:\WINDOWS\system32\vtstu.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\yhuvumoa.dll
C:\WINDOWS\system32\yhuvumoa.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.7.7

Checking Java version...

Java version is 1.5.0.2
Old versions of java are exploitable and should be removed.

Scan started at 18:09:00 21/01/2008

Listing files found while scanning....

Beginning removal...


Voila, je ne suis pas très bon dans ce domaine mais si quelqu'un pourrait me dire exactement pourquoi je n'arrive pas à suprimer ce trojan sa m'aiderai beaucoup

Merci d'avance pour vos réponces!!
Configuration: Windows XP
Internet Explorer 7.0

93 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Une contamination par le trojan Virtumonde persiste malgré l’emploi de VundoFix et Virtumundobego, et les rapports HijackThis décrivent des entrées système et des DLL tenaces difficiles à éradiquer. Des éléments problématiques incluent des services et processus actifs listés, des programmes autoruns qui se réactivent, et des fichiers DLL et EXE qui échouent à être supprimés par les outils disponibles. En cas de persistance après ces tentatives, il peut être nécessaire d’analyser les démarrages hors ligne, d’examiner les dépendances de services et, le cas échéant, d’envisager une réinstallation du système avec sauvegardes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    il y a encore cette ligne qui me gene:O4 - HKLM\..\Run: [40274ff9] rundll32.exe "C:\WINDOWS\system32\ipmkounq.dll",b
    je regarderais ton rapport combofix demain
    1
  2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    comment çà ???

    bien sur que oui ...
    1
  3. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    salut tomtom !

    tu dis que tu n'arrive pas a supprimer ce trojan pourtant dans ton rapport vundofix ces fichiers étaient infectées et supprimés:
    C:\WINDOWS\SiSUSBrg.exe
    C:\WINDOWS\system32\erpeksws.dll
    C:\WINDOWS\system32\ljjhfgh.dll
    C:\WINDOWS\system32\lorffiex.dll
    C:\WINDOWS\system32\NeroCheck.exe
    C:\WINDOWS\system32\qpuwotqj.dll
    C:\windows\system32\qpuwotqj.dllbox
    C:\WINDOWS\system32\ujbwqsni.dll
    C:\WINDOWS\system32\utstv.ini
    C:\WINDOWS\system32\utstv.ini2
    C:\WINDOWS\system32\vtstu.dll
    C:\WINDOWS\system32\vtstu.exe
    C:\WINDOWS\system32\xeiffrol.ini


    on va controler ca, fais ceci:
    E - Scan online avec BitDefender

    Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X;

    la barre anti-popup du SP2 (en haut) va se mettre à clignoter,
    clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
    Une fois qu'il a terminé colle le rapport ici stp
    https://www.bitdefender.com/toolbox/
    Copie/Colle le rapport
    http://www.malekal.com/tutorial_BitDefender_AntiSpyware.php
    https://kerio.probb.fr/
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm

    0
  4. tomtom2005 Messages postés 190 Statut Membre 15
     
    pour le rapport va faloir attendre un peu il faut un bon moment XD A peu pres 2H celonle scan
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    j'attend le rapport ,t'inquiete.
    0
  7. tomtom2005 Messages postés 190 Statut Membre 15
     
    bon j'ai oublier de debrancher mon disk externe donc c'etais partie pour 16 H donc j'ai coupé
    Je recommence demain..
    et petite question:sur quoi clique t-on a la fin du scan ?

    Merci et bonne soirée
    0
  8. tomtom2005 Messages postés 190 Statut Membre 15
     
    Voila le scan est terminer, je pense que sa doit être sa:

    BitDefender Online Scanner
    Scan report generated at: Tue, Jan 22, 2008 - 10:20:59

    Scan path: A:\;C:\;D:\;E:\;F:\;

    Statistics
    Time 01:23:47
    Files 209494
    Folders 4305
    Boot Sectors 2
    Archives 2729
    Packed Files 12220

    Results
    Identified Viruses 5
    Infected Files 6
    Suspect Files 0
    Warnings 0
    Disinfected 0
    Deleted Files 4

    Engines Info
    Virus Definitions 892779
    Engine build AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
    Scan plugins 14
    Archive plugins 38
    Unpack plugins 7
    E-mail plugins 6
    System plugins 1

    Scan Settings
    First Action Disinfect
    Second Action Delete
    Heuristics Yes
    Enable Warnings Yes
    Scanned Extensions *;
    Exclude Extensions
    Scan Emails Yes
    Scan Archives Yes
    Scan Packed Yes
    Scan Files Yes
    Scan Boot Yes

    Scanned File Status
    C:\Program Files\DAEMON Tools\SetupDTSB.exe=>(CAB Sfx r)=>DaemonTools_WhenUSave_Installer.exe Infected with: Generic.Adw.SaveNow.F5FEB660
    C:\Program Files\DAEMON Tools\SetupDTSB.exe=>(CAB Sfx r)=>DaemonTools_WhenUSave_Installer.exe Disinfection failed
    C:\Program Files\DAEMON Tools\SetupDTSB.exe=>(CAB Sfx r)=>DaemonTools_WhenUSave_Installer.exe Deleted
    C:\Program Files\DAEMON Tools\SetupDTSB.exe=>(CAB Sfx r) Update failed
    C:\System Volume Information\_restore{75498FD1-7446-4B8D-A5A0-4A5BC37982DA}\RP40\A0017752.dll Infected with: Trojan.Vundo.DWB
    C:\System Volume Information\_restore{75498FD1-7446-4B8D-A5A0-4A5BC37982DA}\RP40\A0017752.dll Disinfection failed
    C:\System Volume Information\_restore{75498FD1-7446-4B8D-A5A0-4A5BC37982DA}\RP40\A0017752.dll Deleted
    C:\WINDOWS\system32\ctfmon.exe.tmp Infected with: Trojan.Dropper.Vundo.D
    C:\WINDOWS\system32\ctfmon.exe.tmp Disinfection failed
    C:\WINDOWS\system32\ctfmon.exe.tmp Deleted
    C:\WINDOWS\system32\ljjhfgh.dll Infected with: Trojan.Vundo.DWH
    C:\WINDOWS\system32\ljjhfgh.dll Disinfection failed
    C:\WINDOWS\system32\ljjhfgh.dll Delete failed
    C:\WINDOWS\system32\vtstu.dll Infected with: Trojan.Vundo.DWK
    C:\WINDOWS\system32\vtstu.dll Disinfection failed
    C:\WINDOWS\system32\vtstu.dll Delete failed
    C:\WINDOWS\system32\vtstu.exe Infected with: Trojan.Dropper.Vundo.D
    C:\WINDOWS\system32\vtstu.exe Disinfection failed
    C:\WINDOWS\system32\vtstu.exe Deleted


    Si ce n'est pas ça, faites le moi savoir
    0
  9. tomtom2005 Messages postés 190 Statut Membre 15
     
    Up

    Je remonte le message pour confirmer que le trojan virtumonde se trouve bien sur mon PC, spybot le detecte mais n'arrive pas a le suprimer, je ne sais plus quoi faire ?

    reinstaller Windows ?
    0
  10. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut tomtom, JFK ;o) !
    petite intrusion...
    Comme on peut le constater les ligne 02 et 20 sont absente malgré le changement du nom du logiciel.

    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe c'est Hijack' qu'il faut renomer !!!
    clic droit sur son icone > renomer> choisis ccm.exe par exemple et refais un scan HiJack' stp

    pour suivre ...
    0
    1. tomtom2005 Messages postés 190 Statut Membre 15
       
      Voila, j'ai correctement renommer et effectivement on voit apparaitre les lignes 02 mais pas 20



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 11:45:31, on 24/01/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16574)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
      C:\WINDOWS\system32\acs.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\PnkBstrA.exe
      C:\WINDOWS\system32\PnkBstrB.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\SMC\EZ ConnectTM g 108Mbps Wireless USB Adapter\SMCWUSBT.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Trend Micro\HijackThis\ccm.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      F3 - REG:win.ini: load=C:\WINDOWS\system32\vtstu.exe
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: {4fb2217f-f06c-005a-cc84-c6a262a7d932} - {239d7a26-2a6c-48cc-a500-c60ff7122bf4} - C:\WINDOWS\system32\dutojbws.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: (no name) - {5E0E2FC9-98E2-4ACD-8E90-CDDD34D83B56} - C:\WINDOWS\system32\vtstu.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: (no name) - {91262C60-DD10-46FA-A09B-AE14902ECA11} - C:\WINDOWS\system32\ljjhfgh.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [40274ff9] rundll32.exe "C:\WINDOWS\system32\onyhglre.dll",b
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: EZ ConnectTM g 108Mbps Wireless USB Utility.lnk = C:\Program Files\SMC\EZ ConnectTM g 108Mbps Wireless USB Adapter\SMCWUSBT.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O15 - Trusted Zone: http://www.secuser.com
      O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
      O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
      O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
      O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
      O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
      O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
      O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
      O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe
      0
  11. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    re,
    tu vas faire ca:

    télécharge combofix ici:
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Démarrer en mode sans echec
    * Double cliquer combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan
    * Le rapport sera crée dans: C:\Combofix.txt, poste le stp
    0
  12. tomtom2005 Messages postés 190 Statut Membre 15
     
    J'ai refait un rapport HijackThis.

    Voir au dessus

    Je fait le rapport combofix cette aprem
    0
  13. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut les gars !
    re intrusion :
    O2 - BHO: (no name) - {91262C60-DD10-46FA-A09B-AE14902ECA11} - C:\WINDOWS\system32\ljjhfgh.dll
    http://www.castlecops.com/tk41347-random_filename.html

    tu joues à Battlefield 2142 and America's Army on line ?

    fais ceci avant tout !
    Télécharge VundoFix.exe par Atribune http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau.

    ° Double-clique sur VundoFix.exe afin de le lancer
    Clique sur le bouton Scan for Vundo
    Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

    Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse.

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
    Il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    pour info Boonty Games - BOONTY
    Voici une petite information sur Boonty games

    Leur politique :

    "Il se peut que nous partagions aussi des informations payantes avec des tiers
    qui fournissent des services payants et partage des données regroupées montrant le type
    et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,
    niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
    internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.
    De plus, nous partageons les adresses email avec des tiers fournisseurs de comptes mails
    qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

    si tu es d'accord avec eux, pas de problèmes sinon, il faut desintaller le service en allant dans
    (démarrer / exécuter / tape services.msc ) recherche le service, va dans les propriétés et désactive le.
    Lance une recherche Boonty et supprime tout.

    Va dans le gestionnaire de tâches !

    Pour ouvrir le gestionnaire de tâches, appuies simultanément sur les trois touches du clavier Ctrl-Alt-Suppr (Del).
    Sous Windows NT/2000/XP, choisis l'onglet "Processus" (Processes) pour lister tous les processus. On notera que seuls les processus "maîtres" sont affichés (les .exe) mais pas leurs dépendances (les composants en .dll).
    Rechercher Boonty.exe et cliques sur "Terminer le processus".
    tu viens de le supprimer, lui et ses composants dépendants.

    JFK, je te laisse la main ...
    @+
    0
  14. tomtom2005 Messages postés 190 Statut Membre 15
     
    HIJACKTHIS:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:42, on 2008-01-24
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SMC\EZ ConnectTM g 108Mbps Wireless USB Adapter\SMCWUSBT.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\ccm.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: {4fb2217f-f06c-005a-cc84-c6a262a7d932} - {239d7a26-2a6c-48cc-a500-c60ff7122bf4} - C:\WINDOWS\system32\dutojbws.dll (file missing)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {5E0E2FC9-98E2-4ACD-8E90-CDDD34D83B56} - C:\WINDOWS\system32\vtstu.dll (file missing)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime
    O4 - HKLM\..\Run: [40274ff9] rundll32.exe "C:\WINDOWS\system32\ipmkounq.dll",b
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: EZ ConnectTM g 108Mbps Wireless USB Utility.lnk = C:\Program Files\SMC\EZ ConnectTM g 108Mbps Wireless USB Adapter\SMCWUSBT.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
    O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

    End of file - 7386 bytes


    VUNDOFIX:

    VundoFix V6.7.7

    Checking Java version...

    Java version is 1.5.0.2
    Old versions of java are exploitable and should be removed.

    Scan started at 19:35:18 20/01/2008

    Listing files found while scanning....

    C:\WINDOWS\SiSUSBrg.exe
    C:\WINDOWS\system32\erpeksws.dll
    C:\WINDOWS\system32\ljjhfgh.dll
    C:\WINDOWS\system32\lorffiex.dll
    C:\WINDOWS\system32\NeroCheck.exe
    C:\WINDOWS\system32\qpuwotqj.dll
    C:\windows\system32\qpuwotqj.dllbox
    C:\WINDOWS\system32\ujbwqsni.dll
    C:\WINDOWS\system32\utstv.ini
    C:\WINDOWS\system32\utstv.ini2
    C:\WINDOWS\system32\vtstu.dll
    C:\WINDOWS\system32\vtstu.exe
    C:\WINDOWS\system32\xeiffrol.ini

    Beginning removal...

    Attempting to delete C:\WINDOWS\SiSUSBrg.exe
    C:\WINDOWS\SiSUSBrg.exe Has been deleted!

    Attempting to delete C:\WINDOWS\system32\erpeksws.dll
    C:\WINDOWS\system32\erpeksws.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ljjhfgh.dll
    C:\WINDOWS\system32\ljjhfgh.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\lorffiex.dll
    C:\WINDOWS\system32\lorffiex.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\NeroCheck.exe
    C:\WINDOWS\system32\NeroCheck.exe Has been deleted!

    Attempting to delete C:\WINDOWS\system32\qpuwotqj.dll
    C:\WINDOWS\system32\qpuwotqj.dll Has been deleted!

    Attempting to delete C:\windows\system32\qpuwotqj.dllbox
    C:\windows\system32\qpuwotqj.dllbox Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ujbwqsni.dll
    C:\WINDOWS\system32\ujbwqsni.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\utstv.ini
    C:\WINDOWS\system32\utstv.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\utstv.ini2
    C:\WINDOWS\system32\utstv.ini2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vtstu.dll
    C:\WINDOWS\system32\vtstu.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vtstu.exe
    C:\WINDOWS\system32\vtstu.exe Has been deleted!

    Attempting to delete C:\WINDOWS\system32\xeiffrol.ini
    C:\WINDOWS\system32\xeiffrol.ini Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\ljjhfgh.dll
    C:\WINDOWS\system32\ljjhfgh.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    VundoFix V6.7.7

    Checking Java version...

    Java version is 1.5.0.2
    Old versions of java are exploitable and should be removed.

    Scan started at 14:11:00 21/01/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\erlghyno.ini
    C:\WINDOWS\system32\lidmlxms.exe
    C:\WINDOWS\system32\ljjhfgh.dll
    C:\WINDOWS\system32\njsaityb.dll
    C:\WINDOWS\system32\onyhglre.dll
    C:\WINDOWS\system32\ownzucua.dll
    C:\windows\system32\ownzucua.dllbox
    C:\WINDOWS\system32\vtstu.dll
    C:\WINDOWS\system32\vtstu.exe
    C:\WINDOWS\system32\yhuvumoa.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\erlghyno.ini
    C:\WINDOWS\system32\erlghyno.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\lidmlxms.exe
    C:\WINDOWS\system32\lidmlxms.exe Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ljjhfgh.dll
    C:\WINDOWS\system32\ljjhfgh.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\njsaityb.dll
    C:\WINDOWS\system32\njsaityb.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\onyhglre.dll
    C:\WINDOWS\system32\onyhglre.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\ownzucua.dll
    C:\WINDOWS\system32\ownzucua.dll Could not be deleted.

    Attempting to delete C:\windows\system32\ownzucua.dllbox
    C:\windows\system32\ownzucua.dllbox Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vtstu.dll
    C:\WINDOWS\system32\vtstu.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\vtstu.exe
    C:\WINDOWS\system32\vtstu.exe Has been deleted!

    Attempting to delete C:\WINDOWS\system32\yhuvumoa.dll
    C:\WINDOWS\system32\yhuvumoa.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    VundoFix V6.7.7

    Checking Java version...

    Java version is 1.5.0.2
    Old versions of java are exploitable and should be removed.

    Scan started at 18:09:00 21/01/2008

    Listing files found while scanning....

    Beginning removal...

    VundoFix V6.7.7

    Checking Java version...

    Java version is 1.5.0.2
    Old versions of java are exploitable and should be removed.

    Scan started at 12:50:07 2008-01-24

    Listing files found while scanning....

    C:\WINDOWS\system32\dutojbws.dll
    C:\WINDOWS\system32\erlghyno.ini
    C:\WINDOWS\system32\ipmkounq.dll
    C:\WINDOWS\system32\ljjhfgh.dll
    C:\WINDOWS\system32\onyhglre.dll
    C:\windows\system32\ownzucua.dllbox
    C:\WINDOWS\system32\qnuokmpi.ini
    C:\WINDOWS\system32\vtstu.dll
    C:\WINDOWS\system32\vtstu.exe
    C:\WINDOWS\system32\wcglhtru.exe

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\dutojbws.dll
    C:\WINDOWS\system32\dutojbws.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\erlghyno.ini
    C:\WINDOWS\system32\erlghyno.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ipmkounq.dll
    C:\WINDOWS\system32\ipmkounq.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ljjhfgh.dll
    C:\WINDOWS\system32\ljjhfgh.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\onyhglre.dll
    C:\WINDOWS\system32\onyhglre.dll Has been deleted!

    Attempting to delete C:\windows\system32\ownzucua.dllbox
    C:\windows\system32\ownzucua.dllbox Has been deleted!

    Attempting to delete C:\WINDOWS\system32\qnuokmpi.ini
    C:\WINDOWS\system32\qnuokmpi.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vtstu.dll
    C:\WINDOWS\system32\vtstu.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\vtstu.exe
    C:\WINDOWS\system32\vtstu.exe Has been deleted!

    Attempting to delete C:\WINDOWS\system32\wcglhtru.exe
    C:\WINDOWS\system32\wcglhtru.exe Has been deleted!

    Performing Repairs to the registry.
    Done!
    0
  15. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    en attendant JFK, fais ceci maintenant

    télécharge combofix ici:
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Démarrer en mode sans echec
    * Double cliquer combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan
    * Le rapport sera crée dans: C:\Combofix.txt, poste le stp

    0
  16. tomtom2005 Messages postés 190 Statut Membre 15
     
    LE message est trop lourd donc je ne met pas tout, dit moi si il te faut une parti precise...

    ComboFix 08-01-23.2 - USER 2008-01-24 16:15:59.1 - NTFSx86 MINIMAL
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.615 [GMT 1:00]
    Endroit: C:\Documents and Settings\USER\Mes documents\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\USER\Mes documents\pos1000.tmp
    C:\Documents and Settings\USER\Mes documents\pos1001.tmp
    C:\Documents and Settings\USER\Mes documents\pos1002.tmp
    [............]
    C:\Documents and Settings\USER\Mes documents\posFFD.tmp
    C:\Documents and Settings\USER\Mes documents\posFFE.tmp
    C:\Documents and Settings\USER\Mes documents\posFFF.tmp
    C:\pos10.tmp
    C:\pos100.tmp
    C:\pos1000.tmp
    C:\pos1001.tmp
    [...........]
    C:\posFFD.tmp
    C:\posFFE.tmp
    C:\posFFF.tmp
    C:\Program Files\Temporary
    C:\WINDOWS\system32\utstv.ini
    C:\WINDOWS\system32\utstv.ini2

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_DOMAINSERVICE
    -------\DomainService

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-24 to 2008-01-24 ))))))))))))))))))))))))))))))))))))
    .

    2008-01-24 12:12 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
    2008-01-22 19:28 . 2008-01-22 19:28 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-01-22 12:17 . 2008-01-22 12:17 <REP> d-------- C:\WINDOWS\report
    2008-01-22 12:17 . 2008-01-22 12:16 35,257,677 --a------ C:\WINDOWS\LPT$VPN.955
    2008-01-22 12:16 . 2008-01-22 12:16 <REP> d-------- C:\WINDOWS\AU_Backup
    2008-01-22 12:16 . 2008-01-22 12:16 35,257,677 --a------ C:\WINDOWS\VPTNFILE.955
    2008-01-22 12:16 . 2008-01-22 12:16 1,910,895 --a------ C:\WINDOWS\tsc.ptn
    2008-01-22 12:16 . 2008-01-22 12:16 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
    2008-01-22 12:16 . 2008-01-22 12:16 267,845 --a------ C:\WINDOWS\tsc.exe
    2008-01-22 12:16 . 2008-01-22 12:16 86,094 --a------ C:\WINDOWS\BPMNT.dll
    2008-01-22 12:16 . 2008-01-22 12:16 71,749 --a------ C:\WINDOWS\hcextoutput.dll
    2008-01-22 12:16 . 2008-01-22 17:54 823 --a------ C:\WINDOWS\tsc.ini
    2008-01-22 12:11 . 2008-01-22 12:16 <REP> d-------- C:\WINDOWS\AU_Temp
    2008-01-22 12:11 . 2008-01-22 12:11 <REP> d-------- C:\WINDOWS\AU_Log
    2008-01-22 12:11 . 2008-01-22 12:11 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
    2008-01-22 12:11 . 2008-01-22 12:11 286,720 --a------ C:\WINDOWS\PATCH.EXE
    2008-01-22 12:11 . 2008-01-22 12:11 69,689 --a------ C:\WINDOWS\UNZIP.DLL
    2008-01-22 12:11 . 2008-01-22 12:11 170 --a------ C:\WINDOWS\GetServer.ini
    2008-01-21 18:52 . 2008-01-22 08:57 <REP> d-------- C:\WINDOWS\BDOSCAN8
    2008-01-20 19:35 . 2008-01-21 20:04 <REP> d-------- C:\VundoFix Backups
    2008-01-20 19:32 . 2008-01-20 19:32 <REP> d-------- C:\Program Files\Trend Micro
    2008-01-19 21:23 . 2008-01-20 14:56 155,648 --a------ C:\WINDOWS\system32\NeroCheck .exe
    2008-01-19 21:23 . 2008-01-20 14:56 106,496 --a------ C:\WINDOWS\SiSUSBrg .exe
    2008-01-19 21:23 . 2008-01-21 18:17 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
    2008-01-19 20:13 . 2008-01-21 19:43 <REP> d-------- C:\Program Files\Dot1XCfg
    2008-01-19 19:51 . 2008-01-20 14:05 280 --a------ C:\WINDOWS\game.ini
    2008-01-18 14:58 . 2008-01-18 14:58 <REP> d-------- C:\WINDOWS\nview
    2008-01-18 14:58 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
    2008-01-18 14:58 . 2008-01-18 14:59 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
    2008-01-18 14:58 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
    2008-01-18 14:57 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
    2008-01-17 18:51 . 2008-01-17 19:22 116 --a------ C:\WINDOWS\NeroDigital.ini
    2008-01-17 18:46 . 2008-01-17 18:46 <REP> d-------- C:\Program Files\Fichiers communs\Nero
    2008-01-17 18:46 . 2008-01-17 18:46 <REP> d-------- C:\Program Files\Fichiers communs\LightScribe
    2008-01-17 18:44 . 2008-01-17 18:44 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
    2008-01-17 18:44 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
    2008-01-17 18:44 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
    2008-01-17 18:44 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
    2008-01-17 18:44 . 2004-07-09 09:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
    2008-01-17 18:44 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
    2008-01-17 18:44 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
    2008-01-16 19:04 . 2008-01-16 19:11 <REP> d-------- C:\Program Files\THQ
    2008-01-14 18:57 . 2008-01-14 18:57 <REP> d-------- C:\Program Files\SystemRequirementsLab
    2008-01-14 18:57 . 2008-01-14 18:57 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
    2008-01-14 18:53 . 2008-01-18 14:56 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
    2008-01-14 18:45 . 2008-01-14 18:45 <REP> d-------- C:\Program Files\ma-config.com
    2007-12-29 16:21 . 2008-01-12 12:36 <REP> d-------- C:\Program Files\Free Easy Burner
    2007-12-29 16:21 . 2006-11-18 10:38 200,704 --a------ C:\WINDOWS\system32\vbalExpBar6.ocx
    2007-12-29 16:21 . 2003-04-18 14:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
    2007-12-29 16:21 . 1998-07-13 16:53 44,544 --a------ C:\WINDOWS\system32\GIF89.DLL
    2007-12-29 16:21 . 2003-01-26 11:41 40,960 --a------ C:\WINDOWS\system32\SSubTmr6.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-21 19:00 --------- d-----w C:\Program Files\QuickTime
    2008-01-21 16:35 --------- d-----w C:\Program Files\MSN Messenger
    2008-01-21 16:18 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
    2008-01-21 16:18 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
    2008-01-20 13:06 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-01-19 18:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-17 17:44 --------- d-----w C:\Program Files\ahead
    2008-01-05 17:07 --------- d-----w C:\Program Files\Call of Duty
    2007-12-18 18:16 --------- d-----w C:\Program Files\DivX
    2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
    2007-11-29 14:07 --------- d-----w C:\Program Files\eMule
    2007-11-28 17:16 --------- d-----w C:\Program Files\Microsoft.NET
    2007-11-27 17:15 --------- d-----w C:\Program Files\Lavasoft
    2007-11-26 12:37 --------- d-----w C:\Program Files\Google
    2007-11-25 14:42 --------- d-----w C:\Program Files\CyberLink
    2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
    .
    [code]<pre>
    ----a-w 1,694,208 2008-01-21 12:45:11 C:\Program Files\Messenger\msmsgs .exe
    ----a-w 286,720 2008-01-20 13:56:11 C:\Program Files\QuickTime\qttask .exe
    ----a-w 106,496 2008-01-20 13:56:11 C:\WINDOWS\SiSUSBrg .exe
    ----a-w 15,360 2008-01-21 17:17:10 C:\WINDOWS\system32\ctfmon .exe
    ----a-w 155,648 2008-01-20 13:56:13 C:\WINDOWS\system32\NeroCheck .exe
    </pre>[/code]

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{239d7a26-2a6c-48cc-a500-c60ff7122bf4}]
    C:\WINDOWS\system32\dutojbws.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5E0E2FC9-98E2-4ACD-8E90-CDDD34D83B56}]
    C:\WINDOWS\system32\vtstu.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
    "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask .exe" [ ]
    "40274ff9"="C:\WINDOWS\system32\ipmkounq.dll" [ ]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

    R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-05-25 00:53]
    R2 wlanndi5;wlanndi5 NDIS Protocol Driver;C:\WINDOWS\system32\wlanndi5.SYS [2004-04-21 16:51]
    R3 SMCUSBT;EZ ConnectTM g 108Mbps Wireless USB Adapter Service;C:\WINDOWS\system32\DRIVERS\smcusbt1.sys [2006-04-12 22:31]
    S3 ldiskl;ldiskl;C:\DOCUME~1\USER\LOCALS~1\Temp\ldiskl.sys []
    S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows []
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
    S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-01-19 19:08:56 C:\WINDOWS\Tasks\At1.job"
    - C:\Documents
    "2008-01-19 19:08:59 C:\WINDOWS\Tasks\At2.job"
    - C:\Documents
    "2008-01-19 19:09:03 C:\WINDOWS\Tasks\At3.job"
    - C:\Documents
    "2008-01-24 10:40:31 C:\WINDOWS\Tasks\User_Feed_Synchronization-{12487561-2863-4CA1-95CB-98EF54614643}.job"
    - C:\WINDOWS\system32\msfeedssync.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-01-24 17:10:46
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    0
  17. tomtom2005 Messages postés 190 Statut Membre 15
     
    Je croit que cettefois c'est bon, je l'est suprimer il n'apparait plus dans spybot et j'ai supprimer les 2 lignes "file missing" dans hijackthis.
    Voici le dernier rapport et merci de m'avoir aider

    Si il y a encore quelque chose qui cloche dite le moi.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:32, on 2008-01-24
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16574)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SMC\EZ ConnectTM g 108Mbps Wireless USB Adapter\SMCWUSBT.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Trend Micro\HijackThis\ccm.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask .exe" -atboottime
    O4 - HKLM\..\Run: [40274ff9] rundll32.exe "C:\WINDOWS\system32\ipmkounq.dll",b
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: EZ ConnectTM g 108Mbps Wireless USB Utility.lnk = C:\Program Files\SMC\EZ ConnectTM g 108Mbps Wireless USB Adapter\SMCWUSBT.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
    O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

    End of file - 7119 bytes
    0
  18. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    salut tomtom(merci jorgi!)
    combofix a bien travaillé on dirait !!

    reposte moi un hijackthis STP pour voir ou c'est qu'on en est.
    0
  19. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    nos messages se sont croisés ,je regarde ton hijack.
    0
  20. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    tu n'as pas d'antivirus !!!
    prend celui ci:https://www.malekal.com/avira-free-security-antivirus-gratuit/#mozTocId71944

    est ce que ton pare-feu windows est activé ?

    ensuite:

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :O4 - HKLM\..\Run: [40274ff9] rundll32.exe "C:\WINDOWS\system32\ipmkounq.dll",b

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    0
  21. tomtom2005 Messages postés 190 Statut Membre 15
     
    Re!

    Je n'active pas mon pare-feu car il me bloque la connection quant je joue en ligne.(doit-je quant même le faire ?)

    Pour l'antivirus, tu n'aurais pas plutot un en francais ?

    Et pour ce qui est du fichier "C:\WINDOWS\system32\ipmkounq.dll", Je ne le trouve pas...
    0
  • 1
  • 2
  • 3
  • 4
  • 5