Infection multiple : TR/Vundo et autres Résolu

Question

Bonjour,
Mon PC est infecté depuis quelque temps par une série de virus, chevaux de troie ou spywares, je ne sais pas trop. En tout cas ce qui est sûr c'est que c'est plutôt embêtant. Voici la liste que G rencensée à partir de la mise en quarantaine de Antivir :

TR/Dldr.ConHook.Gen
TR/Vundo.DWB
TR/Vundo.DWK
TR/Vundo.Gen
TR/Vundo.dvc.6
TR/Vundo.dvc.5
TR/Vundo.dvc.3
TR/Vundo.DVD
TR/Vundo.DVD.279
TR/Agent.6776280
TR/Drop.Agent.dgo.127... et je pense qu'il y en a d'autres.

J'ai bien essayé de m'en débarrasser mais rien à faire alors je viens ici chercher une main secourable.
Je joins le rapport HijackThis car j'ai vu qu'il fallait traiter au cas par cas.

Ce serait cool si quelqu'un pouvait m'aider.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:50, on 02/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\xampplite\apache\bin\apache.exe
C:\WINDOWS\system32\cisvc.exe
D:\xampplite\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
D:\xampplite\apache\bin\apache.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\VdCap03C\BisonCom.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Metapad\metapad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\system32\mllml.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.9.24.dll
O2 - BHO: (no name) - {5A148883-2C35-4AFA-BE23-F9CC9C5BED80} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {928235D1-2338-48D6-B16E-F2541ADBB379} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\hatwwoiq.dll
O2 - BHO: (no name) - {D0F3AA08-D112-4F1B-B3CD-CB05554DD35D} - (no file)
O2 - BHO: (no name) - {DD0AD027-7CD8-4FC5-BABB-D93A76C71B15} - (no file)
O2 - BHO: (no name) - {F2C39776-8E13-4E92-B976-FF3FF36BBA18} - (no file)
O2 - BHO: {3ada8c06-0c20-111a-af04-fa9a57b15a8f} - {f8a51b75-a9af-40fa-a111-02c060c8ada3} - C:\DOCUME~1\Nathalie\LOCALS~1\Temp\ladrgqus.dll (file missing)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [BisonCom] C:\WINDOWS\VdCap03C\BisonCom
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [d0a622a6] rundll32.exe "C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-moustique.lnk = C:\Program Files\moustique.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A2CCDB1-C720-4681-A7B6-C26890B8B806}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: hatwwoiq - C:\WINDOWS\SYSTEM32\hatwwoiq.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampplite\apache\bin\apache.exe
O23 - Service: mysql - Unknown owner - D:\xampplite\mysql\bin\mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe

g!rly · Answer

salut,

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

et repost un nouveau hijack this dans ta reponse.

@´+

ep44 · Answer

Bonsoir 

pour commencer relance hijack et coche ceci 
O2 - BHO: (no name) - {5A148883-2C35-4AFA-BE23-F9CC9C5BED80} - (no file)
	O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
	O2 - BHO: (no name) - {928235D1-2338-48D6-B16E-F2541ADBB379} - (no file)
	O2 - BHO: (no name) - {D0F3AA08-D112-4F1B-B3CD-CB05554DD35D} - (no file)
	O2 - BHO: (no name) - {DD0AD027-7CD8-4FC5-BABB-D93A76C71B15} - (no file)
	O2 - BHO: (no name) - {F2C39776-8E13-4E92-B976-FF3FF36BBA18} - (no file)
ensuite clic sur fix checked 

ensuite 
Télécharge sur le Bureau.
http://www.atribune.org/ccount/click.php?id=4

=> Double-clic VundoFix.exe.
=> Clic OK
=> Attendre le redemarrage de Vundofix
=> Clic Scan for Vundo
=> Le scan est assez long , à la fin
=> Clic Remove Vundo
=> Puis yes
=> Le Bureau disparaît un moment lors de la suppression des fichiers.
=> Message shutdown
=> clic OK
=> Redémarrage auto
=> copier le rapport qui est dans C:vundofix.txt

ensuite une fois ceci fait refais un rapport hijack
@+

kls · Answer

Bonsoir et merci pour vos réponses. J'ai eu deux démarches différentes et je ne savais pas vraiment laquelle suivre, alors voilà ce que j'ai fait : - dans hijack j'ai supprimé les lignes indiquées par ep44 puis j'ai relancé Vundo qui na rien trouvé ; - ensuite j'ai lancé Combofix comme me l'a indiqué g!rly. C'est peut être un effet placebo mais j'ai noté une nette amélioration dans la vitesse d'exécution des tâches. En plus,je n'ai pratiquement plus de messages d'alertes Antivir. Merci de continuer à me "coacher" pour la suite des opérations s'il y a lieu. Les rapports de Vundo, Combofix et Hijack suivent ci-dessous. ________________________________________________________________________________________ VundoFix V6.7.7 Checking Java version... Scan started at 12:19:31 06/01/2008 Listing files found while scanning.... C:\WINDOWS\system32\AudFile.dll C:\WINDOWS\system32\ddcaxya.dll C:\WINDOWS\system32\eicbwnpb.exe C:\WINDOWS\system32\jdpxkhex.exe C:\WINDOWS\system32\onnmp.ini C:\WINDOWS\system32\onnmp.ini2 C:\WINDOWS\system32\pmnno.dll C:\WINDOWS\system32\WMAFile.dll C:\WINDOWS\system32\wvuuttt.dll Beginning removal... Attempting to delete C:\WINDOWS\system32\AudFile.dll C:\WINDOWS\system32\AudFile.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\ddcaxya.dll C:\WINDOWS\system32\ddcaxya.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\eicbwnpb.exe C:\WINDOWS\system32\eicbwnpb.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\jdpxkhex.exe C:\WINDOWS\system32\jdpxkhex.exe Could not be deleted. Attempting to delete C:\WINDOWS\system32\onnmp.ini C:\WINDOWS\system32\onnmp.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\onnmp.ini2 C:\WINDOWS\system32\onnmp.ini2 Has been deleted! Attempting to delete C:\WINDOWS\system32\pmnno.dll C:\WINDOWS\system32\pmnno.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\WMAFile.dll C:\WINDOWS\system32\WMAFile.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\wvuuttt.dll C:\WINDOWS\system32\wvuuttt.dll Could not be deleted. Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\jdpxkhex.exe C:\WINDOWS\system32\jdpxkhex.exe Could not be deleted. Attempting to delete C:\WINDOWS\system32\wvuuttt.dll C:\WINDOWS\system32\wvuuttt.dll Could not be deleted. Performing Repairs to the registry. Done! VundoFix V6.7.7 Checking Java version... Scan started at 17:05:45 06/01/2008 Listing files found while scanning.... C:\WINDOWS\system32 qtss.ini C:\WINDOWS\system32 qtss.ini2 C:\WINDOWS\system32\ssqpn.dll C:\WINDOWS\system32\sstqr.dll C:\WINDOWS\system32\svoxrwcs.exe C:\WINDOWS\system32\wvuuttt.dll Beginning removal... Attempting to delete C:\WINDOWS\system32 qtss.ini C:\WINDOWS\system32 qtss.ini Has been deleted! Attempting to delete C:\WINDOWS\system32 qtss.ini2 C:\WINDOWS\system32 qtss.ini2 Has been deleted! Attempting to delete C:\WINDOWS\system32\ssqpn.dll C:\WINDOWS\system32\ssqpn.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\sstqr.dll C:\WINDOWS\system32\sstqr.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\svoxrwcs.exe C:\WINDOWS\system32\svoxrwcs.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\wvuuttt.dll C:\WINDOWS\system32\wvuuttt.dll Could not be deleted. Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\wvuuttt.dll C:\WINDOWS\system32\wvuuttt.dll Could not be deleted. Performing Repairs to the registry. Done! Beginning removal... VundoFix V6.7.7 Checking Java version... Scan started at 22:29:24 15/01/2008 Listing files found while scanning.... C:\WINDOWS\system32\aeclyabm.exe C:\WINDOWS\system32\bvyokhkm.exe C:\WINDOWS\system32\dxvsfdsk.exe C:\WINDOWS\system32\eovudtae.exe C:\WINDOWS\system32\iiprpiht.exe C:\WINDOWS\system32\jlnmp.ini C:\WINDOWS\system32\jlnmp.ini2 C:\WINDOWS\system32\pmnlj.dll C:\WINDOWS\system32\pmnlj.exe C:\WINDOWS\system32 pekojva.exe C:\WINDOWS\system32\vohsynjj.exe C:\WINDOWS\system32\wvuuttt.dll C:\WINDOWS\system32\ypgufpsj.exe Beginning removal... Attempting to delete C:\WINDOWS\system32\aeclyabm.exe C:\WINDOWS\system32\aeclyabm.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\bvyokhkm.exe C:\WINDOWS\system32\bvyokhkm.exe Could not be deleted. Attempting to delete C:\WINDOWS\system32\dxvsfdsk.exe C:\WINDOWS\system32\dxvsfdsk.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\eovudtae.exe C:\WINDOWS\system32\eovudtae.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\iiprpiht.exe C:\WINDOWS\system32\iiprpiht.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\jlnmp.ini C:\WINDOWS\system32\jlnmp.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\jlnmp.ini2 C:\WINDOWS\system32\jlnmp.ini2 Has been deleted! Attempting to delete C:\WINDOWS\system32\pmnlj.dll C:\WINDOWS\system32\pmnlj.dll Could not be deleted. Attempting to delete C:\WINDOWS\system32\pmnlj.exe C:\WINDOWS\system32\pmnlj.exe Has been deleted! Attempting to delete C:\WINDOWS\system32 pekojva.exe C:\WINDOWS\system32 pekojva.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\vohsynjj.exe C:\WINDOWS\system32\vohsynjj.exe Has been deleted! Attempting to delete C:\WINDOWS\system32\wvuuttt.dll C:\WINDOWS\system32\wvuuttt.dll Could not be deleted. Attempting to delete C:\WINDOWS\system32\ypgufpsj.exe C:\WINDOWS\system32\ypgufpsj.exe Has been deleted! Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\bvyokhkm.exe C:\WINDOWS\system32\bvyokhkm.exe Could not be deleted. Attempting to delete C:\WINDOWS\system32\jlnmp.ini C:\WINDOWS\system32\jlnmp.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\jlnmp.ini2 C:\WINDOWS\system32\jlnmp.ini2 Has been deleted! Attempting to delete C:\WINDOWS\system32\pmnlj.dll C:\WINDOWS\system32\pmnlj.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\wvuuttt.dll C:\WINDOWS\system32\wvuuttt.dll Could not be deleted. Performing Repairs to the registry. Done! Beginning removal... VundoFix V6.7.7 Checking Java version... Scan started at 13:00:01 02/02/2008 Listing files found while scanning.... C:\windows\system32\hatwwoiq.dll C:\windows\system32\hatwwoiq.dllbox Beginning removal... Attempting to delete C:\windows\system32\hatwwoiq.dll C:\windows\system32\hatwwoiq.dll Has been deleted! Attempting to delete C:\windows\system32\hatwwoiq.dllbox C:\windows\system32\hatwwoiq.dllbox Has been deleted! Performing Repairs to the registry. Done! VundoFix V6.7.7 Checking Java version... Scan started at 18:36:53 02/02/2008 Listing files found while scanning.... No infected files were found. VundoFix V6.7.7 Checking Java version... Scan started at 19:19:46 02/02/2008 Listing files found while scanning.... No infected files were found. ________________________________________________________________________________________ ComboFix 08-02.03.1 - Kls 2008-02-02 19:53:57.1 - [color=red][b]FAT32/b/colorx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.731 [GMT -4:00] Endroit: C:\Documents and Settings\Kls\Mes documents\Setup programs\Antivirus & Spyware\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data\storageprotector C:\Documents and Settings\All Users\Application Data\storageprotector\Data\ac C:\Documents and Settings\All Users\Application Data\storageprotector\Data\em C:\Documents and Settings\All Users\Application Data\storageprotector\Data\oid C:\Documents and Settings\All Users\Application Data\storageprotector\Data\user C:\Documents and Settings\Kls\Application Data\storageprotector C:\Documents and Settings\Kls\Application Data\storageprotector\Logs\update.log C:\WINDOWS\system32 stwa.ini2 C:\WINDOWS\system32\windows . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-02 to 2008-02-02 )))))))))))))))))))))))))))))))))))) . 2008-02-01 09:11 . 2008-02-01 09:11 d-------- C:\Documents and Settings\Kls\Application Data\dvdcss 2008-02-01 09:11 . 2008-02-01 09:11 0 --a------ C:\WINDOWS\pcfriend.INI 2008-01-30 09:04 . 2008-01-30 09:04 d-------- C:\Program Files\SUPERAntiSpyware 2008-01-30 09:04 . 2008-01-30 09:04 d-------- C:\Documents and Settings\Kls\Application Data\SUPERAntiSpyware.com 2008-01-30 09:04 . 2008-01-30 09:04 d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com 2008-01-09 03:01 . 2008-01-09 03:01 1,355 --a------ C:\WINDOWS\imsins.BAK 2008-01-07 20:20 . 2008-01-07 20:20 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe 2008-01-06 14:20 . 2008-01-06 14:20 d-------- C:\Documents and Settings\Kls\Application Data\vlc 2008-01-06 14:19 . 2008-01-06 14:19 d-------- C:\Program Files\VideoLAN 2008-01-06 13:25 . 2008-01-06 13:25 d-------- C:\Program Files\Trend Micro 2008-01-06 12:19 . 2008-01-06 12:19 d-------- C:\VundoFix Backups 2008-01-05 20:47 . 2008-01-05 20:47 d--h----- C:\WINDOWS\PIF 2008-01-05 18:25 . 2008-01-05 18:25 d-------- C:\Program Files\DivX 2008-01-03 10:20 . 2008-01-03 10:20 d-------- C:\Program Files\BitComet 2008-01-03 10:20 . 2008-01-03 10:20 d-------- C:\Downloads 2008-01-03 10:20 . 2008-01-03 10:20 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-18 01:23 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2007-12-29 02:01 --------- d-----w C:\Program Files\DomPlayer 2007-12-08 01:44 --------- d-----w C:\Program Files\Wallpaper 2007-12-06 04:16 --------- d-----w C:\Documents and Settings\Steeve Astar\Application Data\uTorrent 2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2007-11-14 07:28 450,560 ------w C:\WINDOWS\system32\dllcache\jscript.dll 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll 2003-04-26 13:35 130,048 ----a-w C:\Program Files\moustique.exe . [code]

----a-w            15,360 2008-01-08 00:20:02  C:\WINDOWS\system32\ctfmon .exe

/code ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}] 2007-10-04 16:06 1135968 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} [HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Program Files\Winamp Toolbar\winamptb.dll [2007-10-04 16:06 1135968] [HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BisonCom"="C:\WINDOWS\VdCap03C\BisonCom" [ ] "RegistryMechanic"="" [] "SoundMan"="SOUNDMAN.EXE" [2004-05-21 04:46 66048 C:\WINDOWS\SOUNDMAN.EXE] "d0a622a6"="C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\Sebring] C:\WINDOWS\System32\LgNotify.dll 2004-03-03 16:48 110592 C:\WINDOWS\system32\LgNotify.dll R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-09-05 22:38] R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS media.sys [2003-10-20 19:09] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-05 22:38] R2 Apache2.2;Apache2.2;"D:\xampplite\apache\bin\apache.exe" [2007-09-20 18:29] R3 ATKXPDisplayName;ATKXPDisplayName;C:\WINDOWS\system32\DRIVERS\ATKACPI.sys [2004-05-27 13:43] S3 MSControlService;Microsoft cache control;C:\WINDOWS\system32\windows [] S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 22:41] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-31 13:21:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-02 19:57:42 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\System32\S24EvMon.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe D:\xampplite\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32 svp.exe C:\WINDOWS\VdCap03C\BisonCom.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\System32\1XConfig.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe . ************************************************************************** . Temps d'accomplissement: 2008-02-02 19:59:18 - machine was rebooted ComboFix-quarantined-files.txt 2008-02-02 23:59:16 . 2008-02-02 15:53:15 --- E O F --- ________________________________________________________________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:15:44, on 02/02/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\sched.exe D:\xampplite\apache\bin\apache.exe D:\xampplite\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\VdCap03C\BisonCom.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe D:\xampplite\apache\bin\apache.exe C:\WINDOWS\System32\1XConfig.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet ools\BitCometBHO_1.1.9.24.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [BisonCom] C:\WINDOWS\VdCap03C\BisonCom O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [d0a622a6] rundll32.exe "C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Anti-moustique.lnk = C:\Program Files\moustique.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet ools\BitCometBHO_1.1.9.24.dll O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4A2CCDB1-C720-4681-A7B6-C26890B8B806}: NameServer = 80.10.246.130 80.10.246.3 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampplite\apache\bin\apache.exe O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing) O23 - Service: mysql - Unknown owner - D:\xampplite\mysql\bin\mysqld-nt.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe

ep44 · Answer

Bonjour  kls,

tu as bien fait de faire les deux rapports 
g!rly à raison de proposer combofix 
mais je voudrais essayer quelques choses si g!rly ne voit pas d'inconvénient ;-)

tu vas supprimer combofix de ton pc 
regarde aussi dans c: et supprime le dossier texte 
ensuite télécharge combo-fix  sur ce lien 
http://download.bleepingcomputer.com/sUBs/Combo-Fix.exe

et reposte un nouveau rapport 
@+

g!rly · Answer

bonjour kls et ep44,

oui ca a fait sont effet > les deux fix a la suite ;-)

je veux bien que tu essaie tout ce que tu veux ep44, pas de probleme...

ps : supprimer combofix > click sur demarrer > executer > dans la boite de dialogue taper > combofix /u ( en respectant l´espace ) et valider par ok.

je reste en observateur alors :p

Bon diamnche a vous deux`

@+

ep44 · Answer

ton intervention sera forcément la bienvenu :-)
@+

kls · Answer

Salut à tous les deux

Tout d'abord, LOL.
Ensuite, ep44 et toi aussi g!rly, il faudra que vous m'expliquiez l'intérêt de supprimer Combofix du PC puis de le retélécharger via exactement le même lien. Je suppose qu'il faudra aussi que je le réexécute. Pour quoi faire ? crie-je, en toute ignorance.

De plus, il n'y a pratiquement plus de signes apparents de présence néfaste - quoique à l'ouverture de Windows j'ai une boîte de dialogue qui me met un message dont je ne me rappelle plus ; j'ai cliqué sur ok.

Donc, vos explications sont les bienvenues.

Ci@o

ep44 · Answer

Bonjour kls,

regarde bien le lien que je te donne  combofix est renommer "combo-fix.exe"
et ça a son importance !
tu as pratiquement plus de signe de présence néfaste 
mais il reste quand même ceci 
C:\WINDOWS\system32\wvuuttt.dll 
C:\WINDOWS\system32\jdpxkhex.exe 
C:\WINDOWS\system32\bvyokhkm.exe 
non supprimé par vundo et combofix donc suit cette manip, pas sur du résultat mais il faut essayer
@+

g!rly · Answer

;-)

kls · Answer

Salut les amis,

Désolé pour ce silence, mais ici, c'était le carnaval et j'avais pris quelques jours de congé.

J'essaie tout de suite le lien proposé par ep44 sous l'oeil vigilent  de g!rly (c'est vrai que j'avais pas fait attention au tiret) et je vous tiens au courant.
Je voulais aussi signaler que l'icône de mon disque C: est depuis quelques temps une croix rouge. C'est pas normal ça ????

Merci. 
@ plus

kls · Answer

Salut, me revoilà.

Ca y est, je viens de lancer le nouveau Combofix de ep44. Ci joints son rapport puis le Hijack.

Bonne soirée.
________________________________________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:48, on 08/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\xampplite\apache\bin\apache.exe
D:\xampplite\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
D:\xampplite\apache\bin\apache.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\VdCap03C\BisonCom.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Metapad\metapad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [BisonCom] C:\WINDOWS\VdCap03C\BisonCom
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [d0a622a6] rundll32.exe "C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2784910321-4236892970-2313203968-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Nathalie')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-moustique.lnk = C:\Program Files\moustique.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A2CCDB1-C720-4681-A7B6-C26890B8B806}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampplite\apache\bin\apache.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: mysql - Unknown owner - D:\xampplite\mysql\bin\mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe

ep44 · Answer

Bonsoir pour vérif refais vundofix stp 
@+

g!rly · Answer

Bonsoir ep44,

Tu as vu :

"d0a622a6"="C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll" [ ] ?

@+

ep44 · Answer

Bonsoir g!rly,

oui j'ai bien vu 

je me focalise peut_être trop sur 
C:\WINDOWS\system32\wvuuttt.dll
C:\WINDOWS\system32\jdpxkhex.exe
C:\WINDOWS\system32\bvyokhkm.exe 

????????

kls

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"d0a622a6"=-


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"


quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

ensuite oublie pas vundofix 
g!rly ton intervenntion est la bienvenue ;-)

@++

kls · Answer

Salut ep44 et g!rly !

Serait-ce trop demander qu'un minimum d'explications ?? C'est quoi cette clé de registre d0a622a6 ?? Pourquoi faut-il changer sa valeur ??

Autrement, j'ai fait ce que tu m'as recommandé ep44, mais quand je double clique sur le fix.reg créé sur mon bureau, il s'ouvre juste en tant que document texte. Il ne cherche pas à rajouter quoi que ce soit dans le registre.

Je vais encore essayer mais si ça ne marche pas, est-ce que je peux modifier directement la valeur de la clé dans le registre et quelle valeur dois-je mettre ? - (moins) ???

Merci,@+.

g!rly · Answer

re,

c´est une sale entrée de registre qui donne acces a ce fichier plus que cracupuleu : 
C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll

peux etre comme est ce plus claire :

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(X)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"d0a622a6"=- 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note Regedit 4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui

puis :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

post le rapport d´ot_move it ainsi que le rapport de vundofix demandé par ep44..

@+

kls · Answer

Rebonsoir !

Autant pour moi.

En fait je ne sais pas pourquoi mais mes extensions de fichiers ne s'affichaient plus alors que je n'avais rien changé aux paramètres. Je suppose que c'est encore un coup de ces programmes malveillants, comme pour l'icône de mon disque.

Du coup, la manip de ep44 a bien marché finalement. Je suis allé voir dans le registre et la clé d0a622a6 a disparu. C'était bien ça le but, non ?

Tenez-moi au courant.

@+
________________________________________________________________________________________

VundoFix V6.7.7

Checking Java version...

Scan started at 18:56:07 08/02/2008

Listing files found while scanning....

No infected files were found.


VundoFix V6.7.7

Checking Java version...

Scan started at 19:39:43 08/02/2008

Listing files found while scanning....

No infected files were found.

kls · Answer

Salut g!rly

Merci pour tes explications. 
Je viens de faire ta manip avec MoveIt et voila le resultat.


[Custom Input]
< C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll >
File/Folder C:\DOCUME~1\Nathalie\LOCALS~1\Temp\hluwqrmk.dll not found.
 
OTMoveIt2 v1.0.19 log created on 02082008_214248


Apparemment, il n'a pas trouvé le fichier.
En fait je crois que mon PC est guéri.
Je lance dans la foulée une série de scan (Antivir, AdAware...) et d'autres outils pour faire un peu de ménage.

Je vous tiens au courant.

@+

ep44 · Answer

Bonjour à vous deux ;-)

par ce beau samedi ensoleillé j'espère que tes soucis vont se résoudre :-)
deux  chose serais pas mal à faire 
fait ceci 
démarrer=>executer=>tape %temp% et vide son contenu 
si tu ne peux pas tout vider fais le en mode sans échec 

pour tes incones je pense à smitfraudfix mais je ne vois pas de trace dans tes rapports
donc pas sur  attendons l'avis de g!rly
 ensuite tu peux faire ceci 


Télécharge:
http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe AVG-AntiSpyware
= Installer
= Le lancer
= Clic : Mise à jour
------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
= Dans ANALYSE ( en forme de loupe )
==> Paramètres ==> sous COMMENT REAGIR==>clic sur Actions recommandées ==>Quarantaine
==> Clic : Analyse complète du système
En fin de scan ( qui est assez long)
==> Clic Appliquer toutes les actions <== ceci Très important
==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
En mode normal
colle le rapport


et ensuite fait un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
@+

g!rly · Answer

Bonjour a vous deux ;-)

En ce beau Samedi pluvieux et glacial lol...

Smitfraud??!! Moi non plus je ne voie pas de traces.

Je suis partante pour voir les resultats d´avg et bitdefender.

@suivre;

kls · Answer

Salut.

J'ai bien suivi la proposition de ep44 et voilà les résultats.

Au fait, pourquoi fallait-il être en mode sans échec pour lancer le scan avec avg ??

@+


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	16:55:28 09/02/2008

 + Résultat de l'analyse:	



HKU\S-1-5-21-2784910321-4236892970-2313203968-1006\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
:mozilla.25:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.64:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.32:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.33:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.34:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.162:C:\Documents and Settings\Nathalie\Application Data\Mozilla\Firefox\Profiles\vsqt96rn.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.163:C:\Documents and Settings\Nathalie\Application Data\Mozilla\Firefox\Profiles\vsqt96rn.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.213:C:\Documents and Settings\Steeve Astar\Application Data\Mozilla\Firefox\Profiles\a5fxjx2j.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.214:C:\Documents and Settings\Steeve Astar\Application Data\Mozilla\Firefox\Profiles\a5fxjx2j.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.506:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.507:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Imrworldwide : Nettoyé.
:mozilla.12:C:\Documents and Settings\LocalService\Application Data\Mozilla\Firefox\Profiles\y9b56z2h.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.13:C:\Documents and Settings\LocalService\Application Data\Mozilla\Firefox\Profiles\y9b56z2h.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.14:C:\Documents and Settings\LocalService\Application Data\Mozilla\Firefox\Profiles\y9b56z2h.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.379:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.412:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Skype : Nettoyé.
:mozilla.24:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.291:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Webtrends : Nettoyé.
:mozilla.429:C:\Documents and Settings\Kls\Application Data\Mozilla\Firefox\Profiles5x5mfre.default\cookies.txt -> TrackingCookie.Yadro : Nettoyé.


Fin du rapport

-----------------------------------------------------------------------------


BitDefender Online Scanner
Scan report generated at: Sat, Feb 09, 2008 - 17:47:16 

Scan path: C:\;D:\;E:\;	
 

==>Statistics
Time		00:34:55
Files		165164
Folders		6863
Boot Sectors	3
Archives	6970
Packed Files	10759
 

==>Results
Identified Viruses	2
Infected Files		2
Suspect Files		0
Warnings		0
Disinfected		0
Deleted Files		2
 

==>Engines Info
Virus Definitions	946545
Engine build		AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins		6
Archive plugins		16
Unpack plugins		4
E-mail plugins		1
System plugins		1
	

 ==>Scan Settings
First Action		Disinfect
Second Action		Delete
Heuristics		Yes
Enable Warnings		Yes
Scanned Extensions	*;
Exclude Extensions
Scan Emails		Yes
Scan Archives		Yes
Scan Packed		Yes
Scan Files		Yes
Scan Boot		Yes
	

==>Scanned File				
==>Status
C:\Documents and Settings\Kls\Mes documents\Setup programs\Maintenance & Gestion de fichiers\filerenamerbasic.exe
Infected with: Trojan.Generic.60649

C:\Documents and Settings\Kls\Mes documents\Setup programs\Maintenance & Gestion de fichiers\filerenamerbasic.exe
Deleted

C:\Documents and Settings\Kls\Mes documents\Setup programs\WebfettiSetup2.2.60.11-2.exe
Detected with: Adware.Mywebsearch.CS

C:\Documents and Settings\Kls\Mes documents\Setup programs\WebfettiSetup2.2.60.11-2.exe
Disinfection failed

C:\Documents and Settings\Kls\Mes documents\Setup programs\WebfettiSetup2.2.60.11-2.exe
Deleted

ep44 · Answer

Bonjour kls,
par ce beau dimanche ensoleillé ;-)))
pourquoi le mode sans echec pour avg 
regarde ici http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm
   	
gchris l'explique très bien

refais un nouveau hijack stp
@+

kls · Answer

Salut,

On est déjà mercredi et je suis désolé de ne pas être plus régulier. En tout cas c'est très sympa de trouver des gens comme toi et g!irly pour nous aider. Merci encore.

Voilà le nouveau rapport Hijacks

----------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:27, on 13/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VdCap03C\BisonCom.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\xampplite\apache\bin\apache.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\xampplite\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
D:\xampplite\apache\bin\apache.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [BisonCom] C:\WINDOWS\VdCap03C\BisonCom
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Anti-moustique.lnk = C:\Program Files\moustique.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A2CCDB1-C720-4681-A7B6-C26890B8B806}: NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampplite\apache\bin\apache.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Microsoft cache control (MSControlService) - Unknown owner - C:\WINDOWS\system32\windows (file missing)
O23 - Service: mysql - Unknown owner - D:\xampplite\mysql\bin\mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe

ep44 · Answer

Bonsoir kls 

beaucoup mieux ;-)

peut tu quand même passer ces fichiers sauf si tu sait exactement ce que c'est 

C:\Program Files\moustique.exe
et
C:\WINDOWS\VdCap03C\BisonCom

sur ce site 
https://www.virustotal.com/gui/

@+

kls · Answer

Salut ep44

Ton "beaucoup mieux" me fait bien plaisir. (-;

L'un des fichiers dont tu parles est un petit programme soit disant anti moustique qui est censé générer des ultrasons. No problem.

L'autre, je pense que c'est un fichier qui doit être lié à la webcam intégrée à mon portable. Mais dans le doute, sur tes bons conseils, je vais quand même vérifier.

Je te tiens au courant.

kls · Answer

Salut

Voilà le résultat de l'analyse via virustotal.

http://www.hebergementimages.com/images/1203125358_result-virustotal.png

Je pense qu'on va pouvoir mettre cette discussion en mode résolu. Qu'en penses -tu ?

ci@o

ep44 · Answer

Bonjour kls 
 oui je pense 

Tu peux supprimer tous les logiciels que nous avons utilisés
va dans ajout/suppression de programes et dans programmes files
pour vérifier



ensuite fait ceci (IMPORTANT)

=démarrer
=panneau de configuration
=système
=onglet Restauration système
=coche la case (Désactiver la restauration système)
=redémarre l'ordinateur
=réactive la ensuite

=>CCleaner
https://www.clubic.com/telecharger-fiche14492-ccleaner.html
tuto:
https://forums.cnetfrance.fr

=> Ad-aware SE (scan passif )
https://www.google.com ou http://www.lavasoft.de/support/download/#free
Tutos :
http://home.tiscali.be/schouppeguy/adawarese/adawase.htm
démo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf

=> SpyBot-Search & Destroy 1.5 (scan passif + protection préventive avec ces 2 résidents, ses vaccinations et sa list Hosts )

https://www.safer-networking.org/download/

démo d utilisation
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
Tuto :
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm
@+

kls · Answer

Salut !

Un grand merci pour ton aide précieuse ep 44, sans oublier g!rly. Mon PC est comme neuf ! (-;i

Les logiciels que tu me conseilles sont installés depuis longtemps mais ils apparemment, ils ne font pas de surveillance active pour bloquer les malwares et autres indésirables contrairement à AVG Anti-Spyware que j'ai laissé sur mon sytème.

En général, je me débrouille toujours pour ne pas choper ces saloperies mais il faut croire que cette fois ci je n'ai pas été assez prudent. Celui qui se relève est plus fort que celui qui n'est jamais tombé.

Jah bless

kls · Answer

PS : c'est bête mais je n'ai pas trouvé comment mettre ladiscussion en mode résolu

ep44 · Answer

hello kls 

content que tes soucis soit résolu 
tu ne peux pas mettre en résolu car tu n'es pas inscrit 
seul les inscrit peuvent mettre en résolu 
ou les contributeur et les administrateur 

mais bon le principal c'est que ton pc ce porte mieux 

regarde celien il peut te servir pour finaliser 
http://www.commentcamarche.net/faq/sujet 3446 windows xp mon pc rame que faire

;-) bye

babyone · Answer

comment sup^rimer combofix

g!rly · Answer

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolsclean(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ep44 · Answer

Bonsoir ;-)

ou encore 

supprimer combofix > click sur demarrer > executer > dans la boite de dialogue taper > combofix /u 
( en respectant l´espace ) et valider par ok. 


@+

Infection multiple : TR/Vundo et autres

33 réponses

Votre réponse

Discussions similaires

Newsletters