trojan TR/Vundo.gen repéré par Antivir Résolu/Fermé

Question

Bonjour,

J'ai vu qu'il y avait pas mal de sujets et de solutions pour ce trojan mais je crée un topic pour vous soumettre le rapport.
Antivir le détecte et il n'y a aucun moyen pour le supprimer, je vais donc suivre votre conseil et télécharger Hijackthis et vundofix.
Je vais procéder comme indiqué dans un topic pour essayer de le supprimer et ensuite je vous enverrais mon rapport.

Voila merci de pouvoir m'aider parce que mon ordinateur souffre énormément !!! et moi je peux plus rien faire, meme pas naviguer sur le net!!

jorginho67 · Answer

Salut ! essayons de voir çà ! IMPORTANT : Ne désactive pas la restauration système, tant que le pc n'est pas propre. Ne pas oublier de décrire le plus précisément possible les dysfonctionnements que rencontre le PC au fur et à mesure des interventions ! ----------------------------------------------------------------------------------------------------------- Télécharge HIJACKTHIS HIJACKTHIS <--- ici. Enregistre HJTInstall.exe sur ton bureau. Double-clique sur HJTInstall.exe pour lancer le programme Par défaut, il s'installera là : C:\Program Files\HijackThis\HijackThis.exe Accepte la license en cliquant sur le bouton "I Accept" Relance Hijackthis en double cliquant sur son raccourci sur le Bureau. Choisis l'option "Do a system scan and save a log file" Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" ->> Copier" pour copier tout le contenu du rapport Comment fixer les lignes et générer un rapport <---- voir ici Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement IMPERATIF !! Avant de lancer HIJACKTHIS , il faut fermer tous les programmes ouverts, se déconnecter d' INTERNET !! Télécharge VundoFix.exe par Atribune sur ton Bureau. # Double-clique sur VundoFix.exe afin de le lancer Clique sur le bouton Scan for Vundo Lorsque le scan est terminé, clique sur le bouton Remove Vundo Une invite te demandera si tu veux supprimer les fichiers, clique YES Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK Le rapport est situé dans C:\vundofix.txt Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". Télécharge virtumondebegone # Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau, celui de vundofix situé dans C:\vundofix.txt et un nouveau rapport HijackThis dans ta prochaine réponse.

hiwatari · Answer

Merci de pouvoir m'aider !!

Voici mon premier rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:52, on 01/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SteamKeyFr\SteamKeyFr.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BM2f7b4f60] Rundll32.exe "C:\WINDOWS\system32
ttpfrwi.dll",s
O4 - HKLM\..\Run: [2c487cfc] rundll32.exe "C:\WINDOWS\system32\chosupdy.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SteamKeyFr] "C:\Program Files\SteamKeyFr\SteamKeyFr.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC68E1B-7179-4D30-9CB7-D3F21A672CE5}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

jorginho67 · Answer

Avant tout, 

Fais un clic droit sur hijackthis,
choisis "renommer" marque (tu écris) : ccm.exe

Pourquoi renommer Hijackthis ?
Parce que certaines infections Vundo ont la particularité de se "cacher" à la
détection de HJT proprement dite ou à son analyse .
la modification du nom de l'exe pallie ce problème...

Poste moi un nouveau log après avoir renommé HJT's !
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport

hiwatari · Answer

J'ai un petit problème, j'ai exécuter vundofix et mon PC a redémarré (en cliquant sur ma session, ça a pris quelques secondes..) Et la mon bureau est vide, plus aucun fichier n'apparait et il y a la fenetre Vundofix avec le fichier C:\WINDOWS\system32\qebbaxv.dll et je me demande si je dois faire un scan ou le supprimer (remove vundo) ???

Merci de m'aider , j'ai peur de planter mon PC !!

hiwatari · Answer

Ah je n'ai pas vu votre réponse alors du coup je n'ai pas renommé HJT....

jorginho67 · Answer

(remove vundo) << clic sur remove....
poste Le rapport qui est situé dans C:\vundofix.txt

hiwatari · Answer

Alors j'ai fait ce que vous m'avez dit et lors de l'ouverture de la session il y a un message d'erreur: 
Erreur de chargement de C:\WINDOWS\sytem32
ttpfrwi  Le module spécifié est introuvable 
Savez-vous ce que c'est ???

Et voici mon rapport vundofix : 


VundoFix V6.7.10

Checking Java version...

Scan started at 20:15:42 01/03/2008

Listing files found while scanning....

C:\WINDOWS\system32\bcmegfgm.dll
C:\WINDOWS\system32\bhsmedxf.dll
C:\WINDOWS\system32\chosupdy.dll
C:\WINDOWS\system32\flwasdhl.dll
C:\WINDOWS\system32\ftreicjq.dll
C:\WINDOWS\system32\gebbaxv.dll
C:\WINDOWS\system32\hbygvqkn.dll
C:\WINDOWS\system32\hgpgqiqn.dll
C:\WINDOWS\system32\jkkll.dll
C:\windows\system32\llkkj.ini
C:\windows\system32\llkkj.ini2
C:\WINDOWS\system32\mljgded.dll
C:\WINDOWS\system32
ttpfrwi.dll
C:\WINDOWS\system32\qftlegnu.dll
C:\WINDOWS\system32\wryudchu.dll
C:\WINDOWS\system32\ydpusohc.ini

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\bcmegfgm.dll
C:\WINDOWS\system32\bcmegfgm.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\bhsmedxf.dll
C:\WINDOWS\system32\bhsmedxf.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\chosupdy.dll
C:\WINDOWS\system32\chosupdy.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\flwasdhl.dll
C:\WINDOWS\system32\flwasdhl.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ftreicjq.dll
C:\WINDOWS\system32\ftreicjq.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\gebbaxv.dll
C:\WINDOWS\system32\gebbaxv.dll Could not be deleted.

 Attempting to delete C:\WINDOWS\system32\hbygvqkn.dll
C:\WINDOWS\system32\hbygvqkn.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\hgpgqiqn.dll
C:\WINDOWS\system32\hgpgqiqn.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\jkkll.dll
C:\WINDOWS\system32\jkkll.dll Has been deleted!

 Attempting to delete C:\windows\system32\llkkj.ini
C:\windows\system32\llkkj.ini Has been deleted!

 Attempting to delete C:\windows\system32\llkkj.ini2
C:\windows\system32\llkkj.ini2 Has been deleted!

 Attempting to delete C:\WINDOWS\system32\mljgded.dll
C:\WINDOWS\system32\mljgded.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32
ttpfrwi.dll
C:\WINDOWS\system32
ttpfrwi.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\qftlegnu.dll
C:\WINDOWS\system32\qftlegnu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\wryudchu.dll
C:\WINDOWS\system32\wryudchu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\ydpusohc.ini
C:\WINDOWS\system32\ydpusohc.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\gebbaxv.dll
C:\WINDOWS\system32\gebbaxv.dll Has been deleted!

Performing Repairs to the registry.
Done!

hiwatari · Answer

Est-ce que quelqu'un peut m'aider s'il vous plait ??????
Mon ordinateur est mon outil de travail ....  merci de répondre !!!

jorginho67 · Answer

Fais un clic droit sur hijackthis,
choisis "renommer" marque (tu écris) : ccm.exe

Pourquoi renommer Hijackthis ?
Parce que certaines infections Vundo ont la particularité de se "cacher" à la
détection de HJT proprement dite ou à son analyse .
la modification du nom de l'exe pallie ce problème...

Poste moi un nouveau log après avoir renommé HJT's !
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition" ->> "Sélectionner tout", puis sur "Edition" -> Copier" pour copier tout le contenu du rapport

hiwatari · Answer

J'ai renommé HJT en ccm.exe et voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22:12, on 01/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SteamKeyFr\SteamKeyFr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09B46D85-5E69-493A-B8D2-A9C89511479C} - C:\WINDOWS\system32\jkkll.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: {ad5e1d64-3706-928b-ee74-8b10321142be} - {eb241123-01b8-47ee-b829-607346d1e5da} - C:\WINDOWS\system32\hgpgqiqn.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BM2f7b4f60] Rundll32.exe "C:\WINDOWS\system32
ttpfrwi.dll",s
O4 - HKLM\..\Run: [2c487cfc] rundll32.exe "C:\WINDOWS\system32\chosupdy.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SteamKeyFr] "C:\Program Files\SteamKeyFr\SteamKeyFr.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC68E1B-7179-4D30-9CB7-D3F21A672CE5}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

jorginho67 · Answer

Télécharge Combofix à partir d'un de ces liens :

ComboFix bleepingcomputer 
ComboFix forospyware 
Et important, enregistre le sur le bureau.

Si ton antivirus te signale un trojan , risktools ou quoi que ce soit, il faut choisir ignorer  car c'est une erreur de detection. 
Il detecte en fait un composant de l'outil de nettoyage.

Avant d'utiliser ComboFix :
Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt

-Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
- Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message ainsi qu'un nouvel Hijackthis...

hiwatari · Answer

Voila c'est fait, ce qui est bizarre c'est que Internet est super long enfin sinon quand Combofix a redémarrer le PC , mes 2 antivirus se sont déclenchés donc j'ai du les désactivez, le message d'erreur que j'ai indiqué avant est apparu donc j'ai du le fermer, je ne sais pas si a changé quelque chose ds le rapport ..; Voici le log de Combofix : ComboFix 08-03-01.3 - Juliette 2008-03-01 21:55:30.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.262 [GMT 1:00] Endroit: C:\Documents and Settings\Juliette\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\cookies.ini C:\WINDOWS\system32\dhcxkkuw.ini C:\WINDOWS\system32\fniijabs.ini C:\WINDOWS\system32\jcpolduq.ini C:\WINDOWS\system32\jtnmggij.ini C:\WINDOWS\system32\mltwvtdq.ini C:\WINDOWS\system32\qticpipp.ini C:\WINDOWS\system32\ygckhiqs.dll C:\WINDOWS\system32\ylsgssdf.dll F:\MS32DLL.dll.vbs . . . . Echec de suppression . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-01 to 2008-03-01 )))))))))))))))))))))))))))))))))))) . 2008-03-01 20:15 . 2008-03-01 20:31 d-------- C:\VundoFix Backups 2008-03-01 20:07 . 2008-03-01 20:07 d-------- C:\Program Files\Trend Micro 2008-03-01 20:07 . 2008-03-01 20:07 15 --a------ C:\WINDOWS\system32\2c486e72 2008-03-01 19:31 . 2008-03-01 19:31 d-------- C:\Program Files\Avira 2008-03-01 19:31 . 2008-03-01 19:31 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-02-26 12:23 . 2008-02-26 12:23 26,048 --a------ C:\WINDOWS\system32\byxywxy.dll 2008-02-24 18:57 . 2008-02-24 18:57 90,176 --a------ C:\WINDOWS\system32\cyoihimv.dll 2008-02-24 17:57 . 2008-02-24 17:57 90,176 --a------ C:\WINDOWS\system32\wutfntrb.dll 2008-02-24 14:36 . 2008-02-24 14:36 d-------- C:\Program Files\Audacity 2008-02-23 17:53 . 2008-02-28 16:49 147 --a------ C:\WINDOWS\BM2f7b4f60.xml 2008-02-23 17:53 . 2008-03-01 19:22 21 --a------ C:\WINDOWS\pskt.ini 2008-02-22 16:36 . 2008-02-22 16:55 d-------- C:\Documents and Settings\Juliette\Application Data\U3 2008-02-16 03:54 . 2008-02-16 03:58 19,753,395 --a------ C:\smap.tmp0 2008-02-16 03:54 . 2008-02-16 03:58 11,458,995 --a------ C:\smsk.tmp0 2008-02-16 03:20 . 2008-02-16 03:20 d-------- C:\Program Files\GameTribe 2008-02-04 21:08 . 2008-02-04 21:08 244 --ah----- C:\sqmnoopt02.sqm 2008-02-04 21:08 . 2008-02-04 21:08 232 --ah----- C:\sqmdata02.sqm 2008-02-02 20:39 . 2008-02-02 20:39 d-------- C:\Documents and Settings\Juliette\Application Data\Cakewalk 2008-02-02 20:37 . 2008-02-02 20:37 d-------- C:\Program Files\Cakewalk 2008-02-02 20:37 . 2004-05-05 01:00 180,224 --a------ C:\WINDOWS\system32\ReWire.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-29 04:27 --------- d-----w C:\Program Files\eMule 2008-02-26 18:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink 2008-02-26 16:09 --------- d-----w C:\Documents and Settings\Juliette\Application Data\Azureus 2008-02-24 12:40 --------- d-----w C:\Documents and Settings\Juliette\Application Data\LimeWire 2008-02-23 20:05 --------- d-----w C:\Program Files\FlashGet 2008-02-15 20:05 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-02-14 12:52 219,763 ----a-w C:\WINDOWS\Fonts\scolaire.zip 2008-02-14 12:51 533,755 ----a-w C:\WINDOWS\Fonts\verchery.zip 2008-02-10 20:07 --------- d-----w C:\Program Files\Steam 2008-02-07 22:31 --------- d-----w C:\Program Files\ESET 2008-01-26 21:19 32,764 ----a-w C:\WINDOWS\17PHolmes572.exe 2008-01-07 18:29 --------- d-----w C:\Program Files\DVD Shrink 2007-12-22 18:54 460,979 ----a-w C:\Documents and Settings\Juliette\data.bin 2007-11-18 11:30 19,176 ----a-w C:\Documents and Settings\Juliette\Application Data\GDIPFONTCACHEV1.DAT . ------- Sigcheck ------- de43b7f2d8b37ca03f7794bb7f3275f7 C:\WINDOWS\system32\wininet.dll ----a-w 1,220,096 2004-08-03 22:54:46 C:\WINDOWS\system32\wininet.dll -c--a-w 1,220,096 2004-08-03 22:54:46 C:\WINDOWS\system32\dllcache\wininet.dll 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers cpip.sys -c--a-w 359,040 2004-08-03 21:14:42 C:\WINDOWS\system32\dllcache cpip.sys ----a-w 359,040 2004-08-03 21:14:42 C:\WINDOWS\system32\drivers cpip.sys 90e794c5d2d368686fe71b4a0354462c C:\WINDOWS\explorer.exe ----a-w 1,884,672 2004-08-03 22:54:50 C:\WINDOWS\explorer.exe -c--a-w 1,884,672 2004-08-03 22:54:50 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{09B46D85-5E69-493A-B8D2-A9C89511479C}] C:\WINDOWS\system32\jkkll.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{eb241123-01b8-47ee-b829-607346d1e5da}] C:\WINDOWS\system32\hgpgqiqn.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-20 20:36 68856] "SteamKeyFr"="C:\Program Files\SteamKeyFr\SteamKeyFr.exe" [2004-01-28 21:49 212992] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nod32kui"="C:\Program Files\Eset od32kui.exe" [2007-11-08 22:41 949376] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00 98304] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "BM2f7b4f60"="C:\WINDOWS\system32 ttpfrwi.dll" [ ] "2c487cfc"="C:\WINDOWS\system32\chosupdy.dll" [ ] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-01 19:34 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Azureus\Azureus.exe"= "C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "C:\Program Files\Steam\steamapps\kilazur\counter-strike\hl.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\WINDOWS\system32\dpvsetup.exe"= "C:\Program Files\Java\jre1.6.0_03\bin\javaw.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "80:TCP"= 80:TCP:tcp azureus "6112:UDP"= 6112:UDP:udp azureus [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9eaed4e-e15b-11dc-b51c-0008543eb15d}] \Shell\AutoRun\command - F:\LaunchU3.exe -a . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-01 22:00:21 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . --------------------- DLLs a chargé sous des processus courants --------------------- PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180] -> C:\Program Files\Eset\pr_imon.dll PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180] -> C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\DockShellHook.dll . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Eset od32krn.exe C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe C:\WINDOWS\system32\devldr32.exe . ************************************************************************** . Temps d'accomplissement: 2008-03-01 22:02:16 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-01 21:02:12

hiwatari · Answer

et le nouveau rapport d'HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:12, on 01/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Eset
od32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SteamKeyFr\SteamKeyFr.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09B46D85-5E69-493A-B8D2-A9C89511479C} - C:\WINDOWS\system32\jkkll.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: {ad5e1d64-3706-928b-ee74-8b10321142be} - {eb241123-01b8-47ee-b829-607346d1e5da} - C:\WINDOWS\system32\hgpgqiqn.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BM2f7b4f60] Rundll32.exe "C:\WINDOWS\system32
ttpfrwi.dll",s
O4 - HKLM\..\Run: [2c487cfc] rundll32.exe "C:\WINDOWS\system32\chosupdy.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SteamKeyFr] "C:\Program Files\SteamKeyFr\SteamKeyFr.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC68E1B-7179-4D30-9CB7-D3F21A672CE5}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

hiwatari · Answer

Que dois-je faire ensuite ??

hiwatari · Answer

Désolé de vous importuner tout le temps mais le virus est éradiqué ??? Je dois exécuter VirtumundoBeGone ?

hiwatari · Answer

Vraiment désolé de m'impatienter autant mais comme je dois travailler sur un logiciel de programmatin (eclipse) et que j'ai un devoir a faire pour mardi,j'étais un peu paniqué... Donc je n'écris plus rien dans l'autre topic et je vous colle ce que j'ai fait Encore pardon, surtout que votre site est génial donc excusez mon impatience.. Bonjour, J'ai posté un message hier et je n'ai obtenu aucune réponse lors de mon dernier rapport avec HJT et Combofix. Voila j'ai exécuter vundofix et j'ai envoyé un rapport vundofix et HJT, on m'a alors recommandé d'exécuter Combofix, ce que j'ai fait mais j'avais oublié de désactiver mes 2 antivirus et mon pare-feu alors j'ai réintérer l'exécution ce matin dont voici le rapport : ComboFix 08-03-01.3 - Juliette 2008-03-02 10:34:12.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.328 [GMT 1:00] Endroit: C:\Documents and Settings\Juliette\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Nircmd.exe C:\WINDOWS\system32\cyoihimv.dll C:\WINDOWS\system32\wutfntrb.dll F:\MS32DLL.dll.vbs . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-02 to 2008-03-02 )))))))))))))))))))))))))))))))))))) . 2008-03-01 20:15 . 2008-03-01 20:31 d-------- C:\VundoFix Backups 2008-03-01 20:07 . 2008-03-01 20:07 d-------- C:\Program Files\Trend Micro 2008-03-01 20:07 . 2008-03-01 20:07 15 --a------ C:\WINDOWS\system32\2c486e72 2008-03-01 19:31 . 2008-03-01 19:31 d-------- C:\Program Files\Avira 2008-03-01 19:31 . 2008-03-01 19:31 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-02-26 12:23 . 2008-02-26 12:23 26,048 --a------ C:\WINDOWS\system32\byxywxy.dll 2008-02-23 17:53 . 2008-02-28 16:49 147 --a------ C:\WINDOWS\BM2f7b4f60.xml 2008-02-23 17:53 . 2008-03-01 19:22 21 --a------ C:\WINDOWS\pskt.ini 2008-02-22 16:36 . 2008-02-22 16:55 d-------- C:\Documents and Settings\Juliette\Application Data\U3 2008-02-16 03:54 . 2008-02-16 03:58 19,753,395 --a------ C:\smap.tmp0 2008-02-16 03:54 . 2008-02-16 03:58 11,458,995 --a------ C:\smsk.tmp0 2008-02-16 03:20 . 2008-02-16 03:20 d-------- C:\Program Files\GameTribe 2008-02-04 21:08 . 2008-02-04 21:08 244 --ah----- C:\sqmnoopt02.sqm 2008-02-04 21:08 . 2008-02-04 21:08 232 --ah----- C:\sqmdata02.sqm 2008-02-02 20:39 . 2008-02-02 20:39 d-------- C:\Documents and Settings\Juliette\Application Data\Cakewalk 2008-02-02 20:37 . 2008-02-02 20:37 d-------- C:\Program Files\Cakewalk 2008-02-02 20:37 . 2004-05-05 01:00 180,224 --a------ C:\WINDOWS\system32\ReWire.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-02 09:18 --------- d-----w C:\Program Files\ESET 2008-02-29 04:27 --------- d-----w C:\Program Files\eMule 2008-02-26 18:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink 2008-02-26 16:09 --------- d-----w C:\Documents and Settings\Juliette\Application Data\Azureus 2008-02-24 12:40 --------- d-----w C:\Documents and Settings\Juliette\Application Data\LimeWire 2008-02-23 20:05 --------- d-----w C:\Program Files\FlashGet 2008-02-15 20:05 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-02-10 20:07 --------- d-----w C:\Program Files\Steam 2008-01-07 18:29 --------- d-----w C:\Program Files\DVD Shrink 2007-12-22 18:54 460,979 ----a-w C:\Documents and Settings\Juliette\data.bin 2007-11-18 11:30 19,176 ----a-w C:\Documents and Settings\Juliette\Application Data\GDIPFONTCACHEV1.DAT . ------- Sigcheck ------- de43b7f2d8b37ca03f7794bb7f3275f7 C:\WINDOWS\system32\wininet.dll ----a-w 1,220,096 2004-08-03 22:54:46 C:\WINDOWS\system32\wininet.dll -c--a-w 1,220,096 2004-08-03 22:54:46 C:\WINDOWS\system32\dllcache\wininet.dll 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers cpip.sys -c--a-w 359,040 2004-08-03 21:14:42 C:\WINDOWS\system32\dllcache cpip.sys ----a-w 359,040 2004-08-03 21:14:42 C:\WINDOWS\system32\drivers cpip.sys 90e794c5d2d368686fe71b4a0354462c C:\WINDOWS\explorer.exe ----a-w 1,884,672 2004-08-03 22:54:50 C:\WINDOWS\explorer.exe -c--a-w 1,884,672 2004-08-03 22:54:50 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{09B46D85-5E69-493A-B8D2-A9C89511479C}] C:\WINDOWS\system32\jkkll.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{eb241123-01b8-47ee-b829-607346d1e5da}] C:\WINDOWS\system32\hgpgqiqn.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-20 20:36 68856] "SteamKeyFr"="C:\Program Files\SteamKeyFr\SteamKeyFr.exe" [2004-01-28 21:49 212992] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00 98304] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "BM2f7b4f60"="C:\WINDOWS\system32 ttpfrwi.dll" [ ] "2c487cfc"="C:\WINDOWS\system32\chosupdy.dll" [ ] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-01 19:34 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54 15360] C:\Documents and Settings\Juliette\Menu D‚marrer\Programmes\D‚marrage\ Stardock ObjectDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe [2005-02-21 14:56:00 1826885] Y'z ToolBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe [2002-09-29 14:41:00 90112] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Azureus\Azureus.exe"= "C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "C:\Program Files\Steam\steamapps\kilazur\counter-strike\hl.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\WINDOWS\system32\dpvsetup.exe"= "C:\Program Files\Java\jre1.6.0_03\bin\javaw.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "80:TCP"= 80:TCP:tcp azureus "6112:UDP"= 6112:UDP:udp azureus [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9eaed4e-e15b-11dc-b51c-0008543eb15d}] \Shell\AutoRun\command - F:\LaunchU3.exe -a . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-02 10:35:51 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-03-02 10:36:51 ComboFix-quarantined-files.txt 2008-03-02 09:36:43 ComboFix2.txt 2008-03-01 21:02:16 Ensuite j'ai exécuter virtumundobegone qui n'a rien signalé et ensuite le scan d'antivir qui m'a re détecter le virus Vundo.gen et voici le rapport : AntiVir PersonalEdition Classic Report file date: dimanche 2 mars 2008 10:41 Scanning for 1129035 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: SYSTEM Computer name: PCJULIETTE Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15 ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 18:34:57 ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24/02/2008 18:34:57 ANTIVIR3.VDF : 7.0.2.215 117248 Bytes 29/02/2008 18:34:57 AVEWIN32.DLL : 7.6.0.73 3334656 Bytes 01/03/2008 18:34:58 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24 AVPACK32.DLL : 7.6.0.3 360488 Bytes 01/03/2008 18:34:58 AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: E:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: dimanche 2 mars 2008 10:41 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'wuauclt.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'devldr32.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'mdm.exe' - '1' Module(s) have been scanned Scan process 'ObjectDock.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'SteamKeyFr.exe' - '1' Module(s) have been scanned Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'E_FATIADE.EXE' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 28 processes with 28 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'E:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '23' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! C:\QooBox\Quarantine\catchme2008-03-01_215947.78.zip [0] Archive type: ZIP --> MS32DLL.dll.vbs [DETECTION] Contains detection pattern of the VBS script virus VBS/IETitle.C [INFO] The file was moved to '483e7ab7.qua'! C:\QooBox\Quarantine\C\WINDOWS\system32\cyoihimv.dll.vir [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\wutfntrb.dll.vir [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\ygckhiqs.dll.vir [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was deleted! C:\QooBox\Quarantine\C\WINDOWS\system32\ylsgssdf.dll.vir [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was deleted! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP101\A0019698.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7ac2.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP101\A0020698.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [WARNING] The file was ignored! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021740.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [WARNING] The file was ignored! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021747.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [WARNING] The file was ignored! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021748.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7ae6.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021749.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7af6.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021750.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b12.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021751.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b24.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021752.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b33.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021753.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '436cdfd4.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021754.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b35.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021756.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b34.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021757.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '436cdfd5.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP103\A0021758.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b36.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP104\A0021776.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '436cdfd6.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP104\A0021777.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b37.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP104\A0021919.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b3a.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP104\A0021920.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '436cdfdb.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP99\A0017565.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b5f.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP99\A0017566.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '47fa7b60.qua'! C:\System Volume Information\_restore{6541CB06-8D60-433D-8AEA-037CED5A4059}\RP99\A0018565.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '436cdf81.qua'! C:\VundoFix Backups\bcmegfgm.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '48377b97.qua'! C:\VundoFix Backups\bhsmedxf.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '483d7b9d.qua'! C:\VundoFix Backups\chosupdy.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '48397b9d.qua'! C:\VundoFix Backups\flwasdhl.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '48417ba1.qua'! C:\VundoFix Backups\ftreicjq.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '483c7baa.qua'! C:\VundoFix Backups\hbygvqkn.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '48437b98.qua'! C:\VundoFix Backups\hgpgqiqn.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '483a7b9d.qua'! C:\VundoFix Backups\jkkll.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '48357ba2.qua'! C:\VundoFix Backups ttpfrwi.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '483e7bab.qua'! C:\VundoFix Backups\qftlegnu.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '483e7b9d.qua'! C:\VundoFix Backups\wryudchu.dll.bad [DETECTION] Is the Trojan horse TR/Vundo.Gen [INFO] The file was moved to '48437baa.qua'! Begin scan in 'E:\' End of the scan: dimanche 2 mars 2008 11:21 Used time: 40:06 min The scan has been done completely. 3649 Scanning directories 251307 Files were scanned 37 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 4 files were deleted 0 files were repaired 30 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 251270 Files not concerned 1653 Archives were scanned 5 Warnings 1 Notes

hiwatari · Answer

Et pour répondre à votre question j'avais NOD32 hier mais je l'ai supprimé alors il me reste que Antivir !!

••RiverToo•• · Answer

Bonjour à vous 2

''enfin sinon quand Combofix a redémarrer le PC , mes 2 antivirus se sont déclenchés donc j'ai du les désactivez,'' 

Donc il a 2 anti-virus !!
hiwa si tu as Acheter nod32 garde le !!! largement plus efficasse 

Ou sinon si tu veux garde antivir il est gratuit ..

Voila

••RiverToo••

••RiverToo•• · Answer

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.

Bonne suite.

••RiverToo••

hiwatari · Answer

Voici le rapport VGB.txt :


[03/02/2008, 13:14:18] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Juliette\Bureau\VirtumundoBeGone.exe" )
[03/02/2008, 13:14:36] - Detected System Information:
[03/02/2008, 13:14:36] -  Windows Version: 5.1.2600, Service Pack 2
[03/02/2008, 13:14:36] -  Current Username: Juliette (Admin)
[03/02/2008, 13:14:36] -  Windows is in NORMAL mode.
[03/02/2008, 13:14:36] - Searching for Browser Helper Objects:
[03/02/2008, 13:14:36] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[03/02/2008, 13:14:36] -  BHO 2: {09B46D85-5E69-493A-B8D2-A9C89511479C} ()
[03/02/2008, 13:14:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/02/2008, 13:14:36] -  Checking for HKLM\...\Winlogon\Notify\jkkll
[03/02/2008, 13:14:36] -  Key not found: HKLM\...\Winlogon\Notify\jkkll, continuing.
[03/02/2008, 13:14:36] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[03/02/2008, 13:14:36] -  BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[03/02/2008, 13:14:36] -  BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[03/02/2008, 13:14:36] -  BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[03/02/2008, 13:14:36] -  BHO 7: {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} (EpsonToolBandKicker Class)
[03/02/2008, 13:14:36] -  BHO 8: {eb241123-01b8-47ee-b829-607346d1e5da} ()
[03/02/2008, 13:14:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
[03/02/2008, 13:14:36] -  Checking for HKLM\...\Winlogon\Notify\hgpgqiqn
[03/02/2008, 13:14:36] -  Key not found: HKLM\...\Winlogon\Notify\hgpgqiqn, continuing.
[03/02/2008, 13:14:36] - Finished Searching Browser Helper Objects
[03/02/2008, 13:14:36] - Finishing up...
[03/02/2008, 13:14:36] - Nothing found! Exiting...

hiwatari · Answer

et le rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:15:20, on 02/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SteamKeyFr\SteamKeyFr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09B46D85-5E69-493A-B8D2-A9C89511479C} - C:\WINDOWS\system32\jkkll.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: {ad5e1d64-3706-928b-ee74-8b10321142be} - {eb241123-01b8-47ee-b829-607346d1e5da} - C:\WINDOWS\system32\hgpgqiqn.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BM2f7b4f60] Rundll32.exe "C:\WINDOWS\system32
ttpfrwi.dll",s
O4 - HKLM\..\Run: [2c487cfc] rundll32.exe "C:\WINDOWS\system32\chosupdy.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SteamKeyFr] "C:\Program Files\SteamKeyFr\SteamKeyFr.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC68E1B-7179-4D30-9CB7-D3F21A672CE5}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

jorginho67 · Answer

Ok ! Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. double-clique sur OTMoveIt.exe pour le lancer. copie la liste qui se trouve en citation ci-dessous, ( en gras ) C:\WINDOWS\system32\chosupdy.dll",b et colle-la dans le cadre de gauche de OTMoveIt : Paste List of Files/Folders to be moved. tutoriel en cas de doute clique sur MoveIt! pour lancer la suppression. Le résultat apparaitra dans le cadre Results à droite. Clique sur Exit pour fermer. Un rapport sera enregistré dans C:\_OTMoveIt\MovedFiles.(xxxxxxxx_xxxxxx.log) Les x sont des chiffres qui correspondent à la date et l'heure du scan. il te sera peut-être demander de redémarrer le pc pour achever la suppression. si c'est le cas accepte par Yes. EN CAS DE DOUTE REGARDE ce TUTO ------------------------------------------------------------------------------------------------------------------------------------------------ Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". O2 - BHO: (no name) - {09B46D85-5E69-493A-B8D2-A9C89511479C} - C:\WINDOWS\system32\jkkll.dll (file missing) O2 - BHO: {ad5e1d64-3706-928b-ee74-8b10321142be} - {eb241123-01b8-47ee-b829-607346d1e5da} - C:\WINDOWS\system32\hgpgqiqn.dll (file missing) O4 - HKLM\..\Run: [2c487cfc] rundll32.exe "C:\WINDOWS\system32\chosupdy.dll",b ---> si encore présente tuto en images --------------------------------------------------------------------------------------------------- Il va falloir analyser un fichier suspect ! Il se peut qu'il se trouve dans les " dossiers cachés " du systeme. Il faut donc les rendre visibles pour le scan. Pour afficher les dossiers et fichiers cachés: Panneau de configuration > Options des dossiers > onglet Affichage. coche Afficher les fichiers et dossiers cachés, décoche Masquer les extensions de fichiers connus décoche Masquer les fichiers protégés du Système. Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix. Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence. Lorsque tu aura fini d'intervenir dans les répertoires système, fait la manip inverse pour recacher les fichiers système. Rend toi chez Virus Total pour analyser ce fichier. Clik sur parcourir Recherche ceci : C:\WINDOWS\system32 ttpfrwi.dll Clik send et poste le rapport ici stp Comment faire <<< Aide toi de ce tuto. refais moi un log HJT's ! @+

jacques.gache · Answer

tu n'as pas essaié ce que je t'avais proposer http://search.atomz.com/search/?sp-a=sp1002e9aa&sp-f=ISO-8859-1&sp-g=2&sp-q=Vundo.gen+&submit=Ok

jorginho67 · Answer

Salut !

Alors déjà tu pourrais dire bonjour, et concernant ceci tu n'as pas essaié ce que je t'avais proposer

tu lui as proposé ou ? pas sur ce topic, je n'ai rien vu.....
Si tu le fais par MP, c'est pas bien.......
se n'est pas dans la politique de la maison........
de plus, si tu vois qu'il y a déjà quelqu'un sur la désinfection, tu peux y participer mais sur le topic, pas en cachette car je ne sais pas ce que tu lui dis de faire, ce qui peut gener à la procedure.
Merci.

hiwatari · Answer

Ah excuse moi mais c'est de ma faute parce que je paniquais qu'il n'y avait pas de réponse hier alors j'ai lancé un autre topic et on m'a dit que c'était pas bien de faire ça alors je suis revenue ici.Entre temps, jacques.gache m'avait proposé de l'aide mais je n'ai pas fait ce qu'il m'a dit, de peur de faire planter l'ordi. Excusez-moi....

Ensuite j'ai fait OTMoveIt mais il dit que le fichier que tu m'as proposé n'existe plus et j'ai essayé Virus Total mais le fichier n'existe plus non plus....

Voici le rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:00, on 02/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\SteamKeyFr\SteamKeyFr.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BM2f7b4f60] Rundll32.exe "C:\WINDOWS\system32
ttpfrwi.dll",s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SteamKeyFr] "C:\Program Files\SteamKeyFr\SteamKeyFr.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EC68E1B-7179-4D30-9CB7-D3F21A672CE5}: NameServer = 212.27.32.5,213.228.0.168
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

jorginho67 · Answer

Relance HijackThis, choisis "do a scan only"  
coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [BM2f7b4f60] Rundll32.exe "C:\WINDOWS\system32
ttpfrwi.dll",s 
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe 

tuto en images

Supprime le répertoire suivant:
C:\Poker  c'est un nid a me..e ....

dis moi ou en sont les soucis que tu avais.......

jorginho67 · Answer

re !
et vu que pour l'instant ça tourne en rond   je pense qu'en 30 posts, ça avance pas mal...

on arrive au bout !

Sinon la je fais un scan avec Antivir pour voir si le virus est encore présent et voir dans quel(s) fichier(s) il se trouve !! 

Bonne initiative, tu me posteras le rapport stp !

Parce que la vous me dites de cocher la page principale d'internet et le titan poker ???  

tu y joues a titan poker ? si oui, ne le fix pas, mais il faut se méfier de ces sites là..... 

Tu ne veux pas essayer Firefox ? pour la navigation c'est mieux ! tu pourras le définir en page d'acceuil.....
si tu ne veux pas, ne la fixe pas non plus.....

jorginho67 · Answer

C:\WINDOWS\syteme volume information\A0020698.dll et C:\WINDOWS\syteme volume information\A0021740.dll 

il s'agit de la restauration systeme.... s'ils sont là, c'est bon, il suffira de la désactiver et réactiver un nouveau point de restau' !

Et si je fixe la ligne Nero , ça veut dire que je ne pourrais plus l'utiliser ?   non, mais le service ne se lancera plus au démarrage du pc , ce qui allegera celui ci !
en aucun cas, tu le supprimes.... il te sera demandé de l'activer au besoin..... 

mais il y a un problème au niveau de la page d'accueil de google ????  non, sauf que là tu tournes sous IE, en passant a firefox, il faudra définir celui ci comme navigateur par défault.

pste le rapport dès que c'est fini stp .

Jacques, je n'avais pas vu l'autre topic, mais bon, tu aurais pu dire bonjour..... ;-)

jorginho67 · Answer

ok, c'est bon...

1) Vide la quarantaine d'Avira ( clic drit sur le drapeau en bas a droite, > clic sur start Antivir > clic sur l'onglet Quarantaine
selectionne ce qui s'y trouve via clic-droit > puis "delete" (ce pour chacun).

2) Désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration propre.

-  Désactivation 
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
 Appliquer . patiente jusqu a que cela soit marqué "désactivée" puis Ok.

-  Activation 
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
 Appliquer. attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur ! 

Tuto au cas ou !!

3) ensuite pour vérifier,peux tu me faire un scan en ligne Kaspersky sous Internet Explorer stp ?

voir ici comment
Désactive ton antivirus, le temps du scan !
  
Clique sur Démarrer Online-Scanner
Clique maintenant sur J'accepte.
Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
Patiente pendant l'installation des Mises à jour.
Choisis par la suite l'analyse du Poste de travail.
Sauvegarde puis colle le rapport généré en fin d'analyse.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée"
 va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner
 reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

jorginho67 · Answer

comme tu veux... j'en serais averti dès que tu l'auras posté.

bonne soirée.

jorginho67 · Answer

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
   
Double-clique sur ToolsCleaner2.bat et laisse le travailler. 
Clique sur Recherche et laisse le scan se terminer.
Clique, sur Suppression pour finaliser.
Tu pourras, si tu le souhaites, te servir des Options facultatives.
- Point de Restauration.
- Corbeille.
- Nettoyage des fichiers Temporaires.
- Sauvegarde du registre. 
Clique sur quitter, pour que le rapport puisse se créer.

Ferme le rapport qui s'ouvre, et poste le dans ta prochaine réponse.
  Il se trouve a la racine du disque C:\TCleaner.txt

jorginho67 · Answer

au fait qu'est ce que ça veut dire exactement faire un point de restauration ??
http://support.packardbell.com/fr/item/index.php?i=topic_01478&psn=2714087049
http://www.commentcamarche.net/faq/sujet 5097 virus system volume information

Tu as fais ceci ?
1) Vide la quarantaine d'Avira ( clic drit sur le drapeau en bas a droite, > clic sur start Antivir > clic sur l'onglet Quarantaine
selectionne ce qui s'y trouve via clic-droit > puis "delete" (ce pour chacun).

2) Désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration propre.

- Désactivation
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
Appliquer . patiente jusqu a que cela soit marqué "désactivée" puis Ok.

- Activation
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
Appliquer. attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur !

jorginho67 · Answer

non, ce n'est pas necessaire puisque tu viens d'en créé un tout neuf. Tu pourras utiliser ToolsCleaner de temps en temps pour nettoyer la corbeille, etc...etc ...! ---------------------------------------------------------------------------------------------------------------------------------------------------------------- Voici quelques conseils utiles à ne pas négliger... prends le temps de lire ceci ! Conseils de base pour surfer en sécurité °Utiliser le navigateur Mozzilla plus sur que IE7 POURQUOI ? Lire Attentivement ceci Tutoriel pour le sécuriser ° Vérifie les mises a jours des différents softs régulièrement ici https://www.flexera.com/products/operations/software-vulnerability-management.html Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ Pour java il faut désinstaller les anciennes versions (de java) via panneau de config / ajouts et suppression de programme ° Ne pas telecharger n'importe quoi, eviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games ...ect °Toujours analyser les fichiers telechargés depuis un peer to peer (emule ,Shareaza, kazza ... ect) avant de les executer Un peu de lecture à ce sujet : °Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir °Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus ° MSN PREVENTION ---------------------------------------------------------------------------------------------------------------- ° Passe regulierement les antispywares ( ad aware spybot avg as 7.5 ),pense a les mettre a jour avant de les lancer c'est tres important Ad-aware 2007 free 7.0.2.6 > http://www.commentcamarche.net/telecharger/telecharger 83 ad aware 2007 free spybot 1.5.1 > http://www.commentcamarche.net/telecharger/telecharger 122 spybot AVG as 7.5.1.43 > http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware ° Supprime regulierement les fichiers inutiles (fichiers temporaires , cookies .. ect) a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/ CCleaner 2.04.543 > http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner ° Nettoie ta base de registre avec regcleaner https://www.malekal.com/nettoyer-sa-base-de-registre-avec-windows-registry-cleaner/ RegCleaner 4.3.0.780 >http://www.commentcamarche.net/telecharger/telecharger 171 regcleaner ------------------------------------------------------------------------------------------------------------------ Il est possible de temps en temps de supprimer le contenu du dossier c/windows/prefetch pour accelerer le demarrage de windows , mais seulement le contenu non le dossier... VIDE le !!! - Clique sur l'icône Poste de travail - Sélectionne le disque c:\ - Positionne toi dans le dossier c:\Windows\Prefetch - Sélectionne le Menu Edition, Sélectionner tout - Appuie sur le touche Suppr du clavier afin de vider ce dossier ------------------------------------------------------------------------------------------------------------------- ° Pense a défragmenter ton Disque Dur au moins une fois par mois ! comment ? http://www.infetech.com/article.php3?id_article=69 -------------------------------------------------------------------------------------------------------------------- Encore un peu de lecture : sécuriser son pc et connaitre les menaces tu peux mettre le sujet en résolu ! au dessus de ton message inintial Modifier le statut de la discussion Afin d'améliorer la qualité des échanges, merci d'indiquer si la discussion ci-dessous a répondu à votre attente : O Problème non résolu O Problème résolu cocher la case et Ajouter ou Valider. Merci et bon surf ! @ plus ! Jo.

hiwatari · Answer

C'est une question bete mais depuis tout a l'heure je cherche pour mettre le sujet en résolu mais je trouve pas........

jorginho67 · Answer

en effet, pour l'auteur du topic, il faut etre inscrit ! 

éventuellement, reviens dans 2/3 jours me dire si tout va bien, et je demanderais a un contributeur de le mettre résolu !

Bonne soirée.

Jo.

Tsume · Answer

Salut, j'ai fait un peu en utilisant les logiciels donnés ici, et à mon avis, c'était un peu plus simple, ou moins long, voici le lien :


http://www.commentcamarche.net/forum/affich 6558375 tr monder worm ou pas tres urgent

En gros, j'ai utilisé Malwarebytes' Anti-Malware, fait un scan (assez long : 4 h pou 200 Go), il supprime, ce qu'il peut reboot pour supprimer le reste, puis ensuite, j'ai utilisé combofix, pour finir le travail.

Il reboot, fait une analyse de contrôle, et ensuite, j'ai vérifié les rapports des 2 logiciels (c'est facile, parce que malwarebyte indique ce qui n'a pas été supprimé "No action taken"), et j'ai refait une analyse par antivirr, et il n'y avait plus rien !!

voilou, c'est juste pour dire comment j'ai fait, et comment on m'a aidé maiis çà m'a l'air concluant.

Trojan TR/Vundo.gen repéré par Antivir

36 réponses

Discussions similaires