Sujet Précédent Sujet Suivant

Infection par Win32:NTRootKit-B [Trj]

Résolu/Fermé
milo2scorpion - 24 févr. 2008 à 09:51
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 9 mars 2008 à 18:54
Bonjour,

Mon PC est infecté oar Win32:NTRootKit-B [Trj]. Avast me le signale mais ne peut rien faire.
Voilà le rapport Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:48:27, on 24/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
I:\AVAST\aswUpdSv.exe
I:\AVAST\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
I:\UTILITAIRES\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
I:\AVAST\ashDisp.exe
I:\UTILITAIRES\System Mechanic 7\SMSystemAnalyzer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
I:\UTILITAIRES\a-squared Anti-Malware\a2guard.exe
I:\UTILITAIRES\spftray.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\SPEEDB~1\VideoAccelerator.exe
I:\UTILITAIRES\Spybot - Search & Destroy\TeaTimer.exe
I:\AVAST\ashMaiSv.exe
I:\AVAST\ashWebSv.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
I:\UTILITAIRES\spfprc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
I:\UTILITAIRES\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL (file missing)
F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\UTILITAIRES\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] I:\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [SMSystemAnalyzer] "I:\UTILITAIRES\System Mechanic 7\SMSystemAnalyzer.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "I:\UTILITAIRES\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [349cb63b] rundll32.exe "C:\WINDOWS\system32\khqnkrse.dll",b
O4 - HKLM\..\Run: [spywarefighterguard] I:\UTILITAIRES\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\UTILITAIRES\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = I:\LOGICIELS\Office\OSA9.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E44F8CE3-8285-48D4-9C1E-F024B3CA339D}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - I:\UTILITAIRES\a-squared Anti-Malware\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\AVAST\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\AVAST\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - I:\UTILITAIRES\spfprc.exe
O23 - Service: VideoAcceleratorEngine - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

21 réponses

  • 1
  • 2
Réponse 1 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 11:48
Re,

tu utiliseras combofix si je te le demande;

Continue les manips (vundofix et SDFix)

avast te décèle quel fichier infecté ?


Boodha, je connais combofix. Mais je ne suis pas sûr que tu en connaisses toi les dangers. Sinon, tu donnerais les précautions d'emploi minimales
2
Utilisateur anonyme
24 févr. 2008 à 11:50
Boodha, je connais combofix. Mais je ne suis pas sûr que tu en connaisses toi les dangers.
============
Les anciens ? Si

Sinon, tu donnerais les précautions d'emploi minimales
============
Combofix est sécurisé dans sa dernière version.
0
Réponse 2 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 10:07
Bonjour,

infection ennuyeuse, surtout si tu as des informations bancaires sur ton ordi.

1) Ouvre Spybot.

Clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"

Tu le remettras en fin de désinfection.

2) Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\khqnkrse.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

3) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe afin de le lancer.

Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
Démarre ton PC à nouveau.
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse

4) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Courage.
1
Réponse 3 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 18:05
Re,

bon, tout ne part pas.

imprime ces instructions car tu n'y auras plus accès

si tu en as une, supprime la version antérieure de Combofix (l'outil est mis à jour très régulièrement)

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

[b]réactive ton parefeu, ton antivirus, la garde de ton antispyware[/b]

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
1
Utilisateur anonyme
24 févr. 2008 à 18:36
Je viens de mettre ton message en utile.

Tu ne lui as fait perdre qu'une journée.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536 > Utilisateur anonyme
24 févr. 2008 à 20:43
48 h qu'il t'attend :

http://www.commentcamarche.net/forum/affich 5128414 cles de registre#14
0
Utilisateur anonyme > Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016
26 févr. 2008 à 21:20
Non c'est moi qui l'attendais.

Beaucoup moins de problème il a maintenant.
0
Réponse 4 / 21
milo2scorpion
24 févr. 2008 à 10:15
Merci beaucoup pour ta réponse.
Mais il ne trouve pas le fichier C:\WINDOWS\system32\khqnkrse.dll
Je suis bloqué, que dois-je faire?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
Utilisateur anonyme
24 févr. 2008 à 10:45
Le fichier qui pose problème est winupdate.exe.

Télécharge combofix de sUBs

lien et tuto ici http://bibou0007.com/tutos-et-lexique-f45/tutorial-combofix-t121.htm
suis les indications et poste le rapport et un nouveau rapport hijackthis dans ton prochain message.
0
Réponse 6 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 11:53
Re,

Combofix est sécurisé dans sa dernière version. mdr
0
milo2scorpion
24 févr. 2008 à 12:34
Le fichier infecté est C:\WINDOWS\system32\ntload.sys

Entre parenthèses, je risque quoi avec cette saloperie sur ma machine?
0
Réponse 7 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 12:47
Re,

passe rapidement Vundofix et SDFix (points " et 4 du post 1).

Pour les risques, que on t'ait volé codes et mots de passe.

Pour ces derniers, on les changera à la fin.
0
milo2scorpion
24 févr. 2008 à 13:43
Voilà déjà le rapport de Vundofix

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.10

Scan started at 12:59:01 24/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\akmmmuxm.dll
C:\WINDOWS\system32\awtsrro.dll
C:\WINDOWS\system32\awvtu.dll
C:\WINDOWS\system32\difqxqmk.dll
C:\WINDOWS\system32\etmyfmmq.dll
C:\WINDOWS\system32\ffcwptwo.dll
C:\WINDOWS\system32\kmqxqfid.ini
C:\WINDOWS\system32\owtpwcff.ini
C:\WINDOWS\system32\pbxigsub.dll
C:\WINDOWS\system32\qmmfymte.ini
C:\WINDOWS\system32\rcfusyoq.dll
C:\WINDOWS\system32\tsjvugpl.dll
C:\windows\system32\utvwa.ini
C:\windows\system32\utvwa.ini2
C:\WINDOWS\system32\ysjujrrw.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\akmmmuxm.dll
C:\WINDOWS\system32\akmmmuxm.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\awtsrro.dll
C:\WINDOWS\system32\awtsrro.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\awvtu.dll
C:\WINDOWS\system32\awvtu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\difqxqmk.dll
C:\WINDOWS\system32\difqxqmk.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\etmyfmmq.dll
C:\WINDOWS\system32\etmyfmmq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ffcwptwo.dll
C:\WINDOWS\system32\ffcwptwo.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\kmqxqfid.ini
C:\WINDOWS\system32\kmqxqfid.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\owtpwcff.ini
C:\WINDOWS\system32\owtpwcff.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\pbxigsub.dll
C:\WINDOWS\system32\pbxigsub.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qmmfymte.ini
C:\WINDOWS\system32\qmmfymte.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\rcfusyoq.dll
C:\WINDOWS\system32\rcfusyoq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tsjvugpl.dll
C:\WINDOWS\system32\tsjvugpl.dll Has been deleted!

Attempting to delete C:\windows\system32\utvwa.ini
C:\windows\system32\utvwa.ini Has been deleted!

Attempting to delete C:\windows\system32\utvwa.ini2
C:\windows\system32\utvwa.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ysjujrrw.dll
C:\WINDOWS\system32\ysjujrrw.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtsrro.dll
C:\WINDOWS\system32\awtsrro.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\difqxqmk.dll
C:\WINDOWS\system32\difqxqmk.dll Has been deleted!

Performing Repairs to the registry.
Done!


Je m'occupe du point 4 et je reviens.
0
Réponse 8 / 21
milo2scorpion
24 févr. 2008 à 14:10
J'ai un problème avec le démarrage en mode sans échec. En fait, j'aboutis à un écran noir où je ne peux plus rien faire...
Que dois-je faire?

merci
0
Réponse 9 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 14:12
Re,

tu as un petit curseur blanc qui clignote en haut à gauche sur ton écran noir ?

Si oui, attends (jusqu'à 30 mn). Au delà, il y a un souci.
0
milo2scorpion
24 févr. 2008 à 14:14
Ok, j'ai bien ça. Je vais attendre alors.

A tout à l'heure.
0
milo2scorpion Messages postés 6 Date d'inscription dimanche 24 février 2008 Statut Membre Dernière intervention 16 avril 2016 > milo2scorpion
24 févr. 2008 à 14:46
Effectivement, il faut être juste patient...

Voilà le rapport de SDfix

b]SDFix: Version 1.146 [/b]

Run by Florian on 24/02/2008 at 14:24

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Florian\Bureau\Utilitaires\SDFix

[b]Checking Services [/b]:

Name:
ntload

Path:
\??\C:\WINDOWS\system32\ntload.sys

ntload - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\winupdate.exe - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-24 14:32:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 4


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\messenger\\msmsgs.exe"="C:\\Program Files\\messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"I:\\UTILITAIRES\\eMule\\emule.exe"="I:\\UTILITAIRES\\eMule\\emule.exe:*:Enabled:eMule"
"I:\\LOGICIELS\\Nexuiz\\nexuiz.exe"="I:\\LOGICIELS\\Nexuiz\\nexuiz.exe:*:Disabled:Nexuiz"
"I:\\UTILITAIRES\\flashget.exe"="I:\\UTILITAIRES\\flashget.exe:*:Enabled:Flashget"
"C:\\Program Files\\DAP\\DAP.exe"="C:\\Program Files\\DAP\\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)"
"C:\\Program Files\\SpeedBit Video Accelerator\\VideoAcceleratorEngine.exe"="C:\\Program Files\\SpeedBit Video Accelerator\\VideoAcceleratorEngine.exe:*:Enabled:VideoAcceleratorEngine"
"C:\\Documents and Settings\\Florian\\Local Settings\\Temp\\Rar$EX00.328\\silverback2.exe"="C:\\Documents and Settings\\Florian\\Local Settings\\Temp\\Rar$EX00.328\\silverback2.exe:*:Enabled:silverback2"
"I:\\LOGICIELS\\runblack.exe"="I:\\LOGICIELS\\runblack.exe:*:Enabled:lh"
"I:\\LOGICIELS\\game.dat"="I:\\LOGICIELS\\game.dat:*:Enabled:La Bataille pour la Terre du Milieu(tm)"
"C:\\WINDOWS\\TEMP\\win9.exe"="C:\\WINDOWS\\TEMP\\win9.exe:*:Enabled:win9"
"C:\\Program Files\\SpeedBit Video Accelerator\\VideoAccelerator.exe"="C:\\Program Files\\SpeedBit Video Accelerator\\VideoAccelerator.exe:*:Enabled:VideoAccelerator"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\Florian\Bureau\UTILIT~1\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sun 1 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 3 Oct 2006 50,280 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Sun 30 Dec 2007 41,984 ...H. --- "C:\Documents and Settings\Florian\Application Data\Microsoft\Word\~WRL0004.tmp"

[b]Finished![/b]
0
Réponse 10 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 15:17
Re,

remets un rapport hijackthis.
0
milo2scorpion Messages postés 6 Date d'inscription dimanche 24 février 2008 Statut Membre Dernière intervention 16 avril 2016
24 févr. 2008 à 15:21
Voilà!

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:53, on 24/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
I:\AVAST\aswUpdSv.exe
I:\AVAST\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
I:\UTILITAIRES\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
I:\AVAST\ashMaiSv.exe
I:\AVAST\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
I:\AVAST\ashDisp.exe
I:\UTILITAIRES\System Mechanic 7\SMSystemAnalyzer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\QuickTime\qttask.exe
I:\UTILITAIRES\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\rundll32.exe
I:\UTILITAIRES\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
I:\UTILITAIRES\spfprc.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\DAP\DAP.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\usnsvc.exe
I:\UTILITAIRES\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\UTILITAIRES\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] I:\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [SMSystemAnalyzer] "I:\UTILITAIRES\System Mechanic 7\SMSystemAnalyzer.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "I:\UTILITAIRES\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [349cb63b] rundll32.exe "C:\WINDOWS\system32\pmvndqts.dll",b
O4 - HKLM\..\Run: [spywarefighterguard] I:\UTILITAIRES\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = I:\LOGICIELS\Office\OSA9.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E44F8CE3-8285-48D4-9C1E-F024B3CA339D}: NameServer = 80.10.246.130 81.253.149.10
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - I:\UTILITAIRES\a-squared Anti-Malware\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\AVAST\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\AVAST\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - I:\UTILITAIRES\spfprc.exe
O23 - Service: VideoAcceleratorEngine - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)
0
Réponse 11 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 15:31
Re,

dernières tentatives pour éviter Combofix :

1) Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\pmvndqts.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

2) renommes Hijackthis.exe en Scanvundo.exe, exécute le et poste le rapport.
0
milo2scorpion Messages postés 6 Date d'inscription dimanche 24 février 2008 Statut Membre Dernière intervention 16 avril 2016
24 févr. 2008 à 15:56
Voilà virustotal:

Fichier pmvndqts.dll reçu le 2008.02.24 15:47:06 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 7/32 (21.88%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.22 TR/Vundo.Gen
Authentium 4.93.8 2008.02.24 -
Avast 4.7.1098.0 2008.02.23 -
AVG 7.5.0.516 2008.02.24 Lop
BitDefender 7.2 2008.02.24 -
CAT-QuickHeal 9.50 2008.02.22 -
ClamAV 0.92.1 2008.02.24 -
DrWeb 4.44.0.09170 2008.02.24 -
eSafe 7.0.15.0 2008.02.21 -
eTrust-Vet 31.3.5557 2008.02.23 -
Ewido 4.0 2008.02.24 -
FileAdvisor 1 2008.02.24 -
Fortinet 3.14.0.0 2008.02.24 -
F-Prot 4.4.2.54 2008.02.23 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.02.23 -
Ikarus T3.1.1.20 2008.02.24 -
Kaspersky 7.0.0.125 2008.02.24 -
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.24 Trojan:Win32/Vundo.gen!A
NOD32v2 2898 2008.02.23 -
Norman 5.80.02 2008.02.22 -
Panda 9.0.0.4 2008.02.24 Suspicious file
Prevx1 V2 2008.02.24 Trojan.Vundo
Rising 20.32.62.00 2008.02.24 -
Sophos 4.26.0 2008.02.24 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.24 -
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.23 -
Webwasher-Gateway 6.6.2 2008.02.23 Trojan.Vundo.Gen
Information additionnelle
File size: 86592 bytes
MD5: bea86c854f1c446cb72faff8315f53c4
SHA1: 6a9a0c16b8e8e614b8de7df89c25e493dd561bde
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=934CEC78407CB611523E01FCF7E72C00165D793A


Et voilà, Hijackthis (scanvundo):

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:54:32, on 24/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
I:\AVAST\aswUpdSv.exe
I:\AVAST\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
I:\UTILITAIRES\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
I:\AVAST\ashMaiSv.exe
I:\AVAST\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
I:\AVAST\ashDisp.exe
I:\UTILITAIRES\System Mechanic 7\SMSystemAnalyzer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\QuickTime\qttask.exe
I:\UTILITAIRES\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\rundll32.exe
I:\UTILITAIRES\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
I:\UTILITAIRES\spfprc.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\DAP\DAP.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\explorer.exe
I:\UTILITAIRES\Scanvundo.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {13CA3C16-8B08-4B40-9C32-072E846F901C} - C:\WINDOWS\system32\awvtu.dll (file missing)
O2 - BHO: (no name) - {3FAF438E-DA4F-4FBB-8469-52D5E999118C} - C:\WINDOWS\system32\awtqq.dll (file missing)
O2 - BHO: (no name) - {5315CFAE-63BE-47F9-BB4A-2EAF6FC23306} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6E18A62D-9A7B-449A-A0DF-E29465493AAA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {9C259F99-918C-4975-9671-BDE22385085C} - C:\WINDOWS\system32\ssqpp.dll
O2 - BHO: (no name) - {9DB30F1E-538B-4395-9E49-37C1429AB459} - C:\WINDOWS\system32\awtsrro.dll
O2 - BHO: {d4899bc7-679b-111b-b1a4-c39adb175ef9} - {9fe571bd-a93c-4a1b-b111-b9767cb9984d} - C:\WINDOWS\system32\wfhlpckr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {E6114C22-0016-4C7A-A7F3-1D1D7A451BCC} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {E63080DF-07A5-40DE-9181-D772FB59D63B} - C:\WINDOWS\system32\jkkli.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\UTILITAIRES\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] I:\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [SMSystemAnalyzer] "I:\UTILITAIRES\System Mechanic 7\SMSystemAnalyzer.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "I:\UTILITAIRES\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [349cb63b] rundll32.exe "C:\WINDOWS\system32\pmvndqts.dll",b
O4 - HKLM\..\Run: [spywarefighterguard] I:\UTILITAIRES\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = I:\LOGICIELS\Office\OSA9.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E44F8CE3-8285-48D4-9C1E-F024B3CA339D}: NameServer = 80.10.246.130 81.253.149.10
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - I:\UTILITAIRES\a-squared Anti-Malware\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\AVAST\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\AVAST\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - I:\UTILITAIRES\spfprc.exe
O23 - Service: VideoAcceleratorEngine - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)
0
Réponse 12 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 16:42
Re,

tu fais exactement ça, dans l'ordre.

1) télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.

2) Double-clique VundoFix.exe afin de le lancer
NE clique PAS sur le bouton Scan for Vundo
Clique Droit dans la fenêtre blanche, choisis Add more files ?
Rajoute dans la première ligne :

C:\WINDOWS\system32\pmvndqts.dll



Clique successivement sur :
- Add Files
- Close Windows
- Remove Vundo


Si l'outil te demande de redémarrer, refuse

3) Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL (file missing)
O2 - BHO: (no name) - {13CA3C16-8B08-4B40-9C32-072E846F901C} - C:\WINDOWS\system32\awvtu.dll (file missing)
O2 - BHO: (no name) - {3FAF438E-DA4F-4FBB-8469-52D5E999118C} - C:\WINDOWS\system32\awtqq.dll (file missing)
O2 - BHO: (no name) - {5315CFAE-63BE-47F9-BB4A-2EAF6FC23306} - (no file)
O2 - BHO: (no name) - {6E18A62D-9A7B-449A-A0DF-E29465493AAA} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {9C259F99-918C-4975-9671-BDE22385085C} - C:\WINDOWS\system32\ssqpp.dll
O2 - BHO: (no name) - {9DB30F1E-538B-4395-9E49-37C1429AB459} - C:\WINDOWS\system32\awtsrro.dll
O2 - BHO: {d4899bc7-679b-111b-b1a4-c39adb175ef9} - {9fe571bd-a93c-4a1b-b111-b9767cb9984d} - C:\WINDOWS\system32\wfhlpckr.dll
O2 - BHO: (no name) - {E6114C22-0016-4C7A-A7F3-1D1D7A451BCC} - C:\WINDOWS\system32\jkhhh.dll (file missing)
O2 - BHO: (no name) - {E63080DF-07A5-40DE-9181-D772FB59D63B} - C:\WINDOWS\system32\jkkli.dll (file missing)
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)



Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

4) double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre en haut à gauche de OTMoveIt :Paste Standard List of Files/Folders to be moved.

C:\WINDOWS\system32\ssqpp.dll
C:\WINDOWS\system32\awtsrro.dll
C:\WINDOWS\system32\wfhlpckr.dll


copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre en bas à gauche de OTMoveIt :Paste Custom List of Files/Folders to be moved.

C:\WINDOWS\system32\ppqss.*
C:\WINDOWS\system32\prrstwa.*
C:\WINDOWS\system32\rkcplhfw.*

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.


5) Sauf si il l'a fait spontanément après OTMoveIt, redémarre l'ordi.

Remets un rapport Hijackthis avec le rapport de Vundofix (C:\vundofix.txt) et le rapport de OTmoveit (dans C:\_OTMoveIt\MovedFiles.
)

Bon courage.
0
milo2scorpion
24 févr. 2008 à 17:51
Voici le rapport OTM:

DllUnregisterServer procedure not found in C:\WINDOWS\system32\ssqpp.dll
C:\WINDOWS\system32\ssqpp.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\ssqpp.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\awtsrro.dll
C:\WINDOWS\system32\awtsrro.dll NOT unregistered.
C:\WINDOWS\system32\awtsrro.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\wfhlpckr.dll
C:\WINDOWS\system32\wfhlpckr.dll NOT unregistered.
C:\WINDOWS\system32\wfhlpckr.dll moved successfully.
[Custom Input]
< C:\WINDOWS\system32\ppqss.* >
C:\WINDOWS\system32\ppqss.ini moved successfully.
C:\WINDOWS\system32\ppqss.ini2 moved successfully.
< C:\WINDOWS\system32\prrstwa.* >
File/Folder C:\WINDOWS\system32\prrstwa.* not found.
< C:\WINDOWS\system32\rkcplhfw.* >
File/Folder C:\WINDOWS\system32\rkcplhfw.* not found.

OTMoveIt2 v1.0.20 log created on 02242008_173824

Le rapport vundofix:

VundoFix V6.7.8

Checking Java version...

Java version is 1.5.0.10

Scan started at 12:59:01 24/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\akmmmuxm.dll
C:\WINDOWS\system32\awtsrro.dll
C:\WINDOWS\system32\awvtu.dll
C:\WINDOWS\system32\difqxqmk.dll
C:\WINDOWS\system32\etmyfmmq.dll
C:\WINDOWS\system32\ffcwptwo.dll
C:\WINDOWS\system32\kmqxqfid.ini
C:\WINDOWS\system32\owtpwcff.ini
C:\WINDOWS\system32\pbxigsub.dll
C:\WINDOWS\system32\qmmfymte.ini
C:\WINDOWS\system32\rcfusyoq.dll
C:\WINDOWS\system32\tsjvugpl.dll
C:\windows\system32\utvwa.ini
C:\windows\system32\utvwa.ini2
C:\WINDOWS\system32\ysjujrrw.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\akmmmuxm.dll
C:\WINDOWS\system32\akmmmuxm.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\awtsrro.dll
C:\WINDOWS\system32\awtsrro.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\awvtu.dll
C:\WINDOWS\system32\awvtu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\difqxqmk.dll
C:\WINDOWS\system32\difqxqmk.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\etmyfmmq.dll
C:\WINDOWS\system32\etmyfmmq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ffcwptwo.dll
C:\WINDOWS\system32\ffcwptwo.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\kmqxqfid.ini
C:\WINDOWS\system32\kmqxqfid.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\owtpwcff.ini
C:\WINDOWS\system32\owtpwcff.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\pbxigsub.dll
C:\WINDOWS\system32\pbxigsub.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qmmfymte.ini
C:\WINDOWS\system32\qmmfymte.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\rcfusyoq.dll
C:\WINDOWS\system32\rcfusyoq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\tsjvugpl.dll
C:\WINDOWS\system32\tsjvugpl.dll Has been deleted!

Attempting to delete C:\windows\system32\utvwa.ini
C:\windows\system32\utvwa.ini Has been deleted!

Attempting to delete C:\windows\system32\utvwa.ini2
C:\windows\system32\utvwa.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\ysjujrrw.dll
C:\WINDOWS\system32\ysjujrrw.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\awtsrro.dll
C:\WINDOWS\system32\awtsrro.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\difqxqmk.dll
C:\WINDOWS\system32\difqxqmk.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\pmvndqts.dll
C:\WINDOWS\system32\pmvndqts.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\pmvndqts.dll
C:\WINDOWS\system32\pmvndqts.dll Has been deleted!

Performing Repairs to the registry.
Done!


Et le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:33, on 24/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
I:\AVAST\aswUpdSv.exe
I:\AVAST\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
I:\UTILITAIRES\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
I:\AVAST\ashDisp.exe
I:\UTILITAIRES\System Mechanic 7\SMSystemAnalyzer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
I:\UTILITAIRES\a-squared Anti-Malware\a2guard.exe
I:\AVAST\ashMaiSv.exe
I:\UTILITAIRES\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
I:\AVAST\ashWebSv.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
I:\UTILITAIRES\spfprc.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
I:\UTILITAIRES\Multi Virus Cleaner 2008\MVC.exe
I:\UTILITAIRES\Scanvundo.exe.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5958101A-AC17-4F4F-A530-8D75179A6D59} - C:\WINDOWS\system32\ssqpp.dll
O2 - BHO: (no name) - {6E18A62D-9A7B-449A-A0DF-E29465493AAA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {d4899bc7-679b-111b-b1a4-c39adb175ef9} - {9fe571bd-a93c-4a1b-b111-b9767cb9984d} - C:\WINDOWS\system32\wfhlpckr.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\UTILITAIRES\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] I:\AVAST\ashDisp.exe
O4 - HKLM\..\Run: [SMSystemAnalyzer] "I:\UTILITAIRES\System Mechanic 7\SMSystemAnalyzer.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "I:\UTILITAIRES\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKLM\..\Run: [349cb63b] rundll32.exe "C:\WINDOWS\system32\pmvndqts.dll",b
O4 - HKLM\..\Run: [spywarefighterguard] I:\UTILITAIRES\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = I:\LOGICIELS\Office\OSA9.EXE
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\UTILIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E44F8CE3-8285-48D4-9C1E-F024B3CA339D}: NameServer = 80.10.246.130 81.253.149.10
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - I:\UTILITAIRES\a-squared Anti-Malware\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\AVAST\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\AVAST\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\AVAST\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\AVAST\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - I:\UTILITAIRES\spfprc.exe
O23 - Service: VideoAcceleratorEngine - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)
0
Réponse 13 / 21
milo2scorpion
24 févr. 2008 à 18:15
Lyonnais92,

Je te remercie énormément pour tous tes conseils et ta disponibilité.
Malheureusement, je ne vais plus avoir accès à cet ordi avant le WE prochain. Je préfère donc lancer combofix le WE prochain car je crains de ne pas avoir le temps tout de suite.
Es-tu disponible le WE prochain et quels horaires te conviennent mieux? Je ferais remonter le post alors.
Tu peux me répondre même dans la semaine car j'ai accès à Internet mais pas de cet ordi...

Merci encore.
0
Réponse 14 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 18:16
Re,

non, je ne serai pas là le week-end prochain. Vacances.
0
milo2scorpion
24 févr. 2008 à 18:18
je vais essayer de le faire tout de suite alors. Tu sais combien de temps ça prend, à la louche?
0
milo2scorpion > milo2scorpion
24 févr. 2008 à 18:32
Je préfére ne pas prendre de risques et le faire dans l'urgence. Je ne vais pas me servir de cet ordinateur en attendant. Ce ne devrait pas présenter de risques?
Est-ce que ça ne te pose pas de problème si j'attends ton retour? Tu reviends dans combien de temps?

En tout cas, bonnes vacances^^ et merci encore!
0
Réponse 15 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 18:30
Re,

pas vraiment, 10 mn ?
0
Réponse 16 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 18:35
Re,

à la fin des vacances zone de Paris.
0
milo2scorpion
24 févr. 2008 à 18:36
Si ça prend 10 min en gros, je le lance de suite.

A tout de suite
0
Réponse 17 / 21
milo2scorpion
24 févr. 2008 à 18:53
voilà le rapport de combofix:

ComboFix 08-02-24.4 - Florian 2008-02-24 18:43:39.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.653 [GMT 1:00]
Endroit: C:\Documents and Settings\Florian\Local Settings\Temporary Internet Files\Content.IE5\HN37HXOE\ComboFix[1].exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
0
Réponse 18 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2008 à 20:11
Re,

si tu es encore là, remets un rapport Hijackthis.

je laisserai à mon réseau (auquel n'appartient pas boodha, dont tu ignores toutes les remarques) de suivre le topic.
0
milo2scorpion
24 févr. 2008 à 22:04
Désolé, je ne suis plus devant l'ordi infecté.
J'ai réactivé le pare-feu et avast mais ce dernier ne m'a pas signalé la présence du virus. Il est vrai que le test a été rapide.
Je posterai un rapport Hijackthis le WE prochain. Si quelqu'un de ton réseau peut se pencher dessus, c'est bien. Sinon, ça peut attendre ton retour sans problème.
En tout cas, merci une nouvelle fois pour tous tes conseils et ta façon très détaillée (et prudente) de me faire avancer.
Je te souhaite de bonnes vacances.
0
Réponse 19 / 21
pas de bol
8 mars 2008 à 19:37
moi aussi je suis infecté par ce meme trj si qlq'un peux m'aider
0
Réponse 20 / 21
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
9 mars 2008 à 00:05
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
A bientôt
0
milo2scorpion
9 mars 2008 à 18:26
Salut Lyonnais92,

Je te donne des news vite fait, je suis désolé, je n'ai vraiment pas eu le temps de me connecter ce WE.
Apparement, tout a bien fonctionné, avast ne trouve plus du tout de trace du trojan et je n'ai plus aucun souci avec l'ordi.
Je suis vraiment soulagé.
Merci encore grandement pour ton aide précieuse.
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses