Help! Win32/Adware.Virtuomonde

Résolu
Babouxx -  
ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour,
J'ai depuis 2 jours un adware, nommé virtuomonde, il est situé dans une bonne dizaine de mes fichiers systeme !
Ce qui m'inquiète le plus c'est que l'un des systèmes infécté est plutôt saoulant car le virus y est en plus de 1500 fois ! Le même virus en 1500 fois, ça m'inquiete au plus haut point et surtout j'en ai marre de voir la petite fenetre disant que j'ai un virus s'ouvrir toute les 5 secondes !
S'il vous plait! Aidez moi à me débarasser de ce virus T-T !

Pour info, j'ai NOD32 pour antivirus et les adwares virtuomonde sont dans les fichier system32: lihij, vxkmhpmi, udaavcci, qsitpjqy, qkbjnxdr, pxacgjpf. Tous .ddl

Une âme charitable pour m'aider ?
Configuration: Windows XP
Firefox 2.0.0.12

38 réponses

  • 1
  • 2
Résumé de la discussion

Un adware nommé Virtumundo est détecté dans plusieurs fichiers système, notamment dans System32, et les alertes antivirus se manifestent à répétition, provoquant une expérience utilisateur perturbée sur Windows XP.
Plusieurs conseils préconisent l’emploi d’outils spécialisés tels que HijackThis, VundoFix, VirtumundoBeGone et ComboFix, puis la génération de rapports à chaque étape pour évaluer l’efficacité du nettoyage.
Le protocole décrit implique des opérations en plusieurs phases: exécuter les outils, supprimer les fichiers et entrées suspects, puis redémarrer et republier les rapports de diagnostic pour vérification et poursuite du nettoyage.
En cas d’échec partiel, la procédure suggère de vérifier chaque rapport et de réessayer avec des outils complémentaires ou une assistance spécialisée, afin d’éviter les réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonsoir Babouxx
    Télécharge sur le bureau

    ftp://ftp.commentcamarche.com/download/HJTInstall.exe

    = Double-clic dessus pour l'installer
    = Clic Do a system scan and save the log
    =coller le rapport
    si problème voir l'aide
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    ensuite

    Télécharge sur le Bureau.
    http://www.atribune.org/ccount/click.php?id=4

    => Double-clic VundoFix.exe.
    => Clic OK
    => Attendre le redemarrage de Vundofix
    => Clic Scan for Vundo
    => Le scan est assez long , à la fin
    => Clic Remove Vundo
    => Puis yes
    => Le Bureau disparaît un moment lors de la suppression des fichiers.
    => Message shutdown
    => clic OK
    => Redémarrage auto
    => copier le rapport qui est dans C:vundofix.txt

    ensuite
    Télécharge VirtumundoBeGone sur ton bureau .
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
    => double-clic sur VirtumundoBeGone.exe
    => Suis les instructions à l'écran
    => Quand le scan est terminé, enregistre le rapport.
    => Copie/Colle le ici

    ensuite

    Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix,
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

    une fois ceci fait refais un rapport hijack

    @+
    2
    1. booddha
       
      Ne pas oublier de faire renommer HiJackThis. Surtout avec Vundo qui se cache à lui si pas renommé.
      0
  2. Babouxx
     
    Ok merci beaucoup, je m'occuperais de cela demain après midi (college oblige :S)

    Je posterais les rapports !

    Merci encore :)
    1
    1. booddha
       
      LOL, ils sont bien je trouve les p'tits jeunes.

      _
      0
    2. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3 > booddha
       
      Bonsoir booddha,
      LOL, ils sont bien je trouve les p'tits jeunes. 


      en effet MDR ;-)

      pas de soucis Babouxx a demain ;-)
      @+
      0
    3. Utilisateur anonyme > ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention  
       
      quels petits jeunes ?
      0
    4. booddha > ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention  
       
      Salut

      ;)

      _
      0
  3. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    un beau nettoyage de fait
    mais ton rapport hijack montre beaucoup de chose
    commence par ceci

    selectionne ceci

    File::

    D:\WINDOWS\system32\dfwhhalb.tmp
    D:\WINDOWS\system32\dfwhhalb.tmp
    D:\WINDOWS\system32\ogpqbaai.tmp
    D:\WINDOWS\system32\uhpywjkv.ini
    D:\WINDOWS\system32\bramlhok.tmp
    D:\WINDOWS\system32\vtsodmbd.tmp
    D:\WINDOWS\system32\ejuwwkye.ini
    D:\WINDOWS\system32\gekaruqt.ini
    D:\WINDOWS\system32\kdqdernv.ini
    D:\WINDOWS\system32\nsdbifjv.tmp
    D:\WINDOWS\system32\kdqdernv.tmp
    D:\WINDOWS\system32\xtmspjxj.ini
    D:\WINDOWS\system32\cwefnpvy.ini
    D:\WINDOWS\system32\ncdnjfrt.tmp

    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt
    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    ensuite refais hijack stp
    @+
    1
    1. Utilisateur anonyme
       
      euh c'est quoi ^^
      0
      1. booddha > Utilisateur anonyme
         
        Ca va supprimer les fichiers en questions.
        0
      2. Utilisateur anonyme > Utilisateur anonyme
         
        bonsoir a tous , c'est la famille Adam's . Tu vas bien ep44 ?
        0
  4. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    tu as de multiple infection
    donc essaye de suivre les étapes ;-)

    Bonsoir booddha :)

    @+
    1
    1. Utilisateur anonyme
       
      manquait + que vous pour diner ^^

      lol
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    bonsoir

    lance ceci stp:

    1/Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    Double-clique VundoFix.exe afin de le lancer.

    Clique sur le bouton Scan for Vundo.
    Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK
    Démarre ton PC à nouveau.
    Copie/colle le rapport (c:\vundofix.txt) dans ta réponse

    2/Télécharge VirtumundoBegone sur le bureau:
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
    Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.

    3/
    • Télécharger HijackThis ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    • Installer HijackThis dans un répertoire dédié NON Temporaire
    (afin de conserver les sauvegardes qu'il fait) et en le renommant Monjack
    • Fermer toutes les applications
    • Lancer hitjackthis
    • Click sur Do a system scan and save a logfile

    Un rapport en fichier text va s'ouvrir.
    Le copier et le coller sur le forum

    bises
    0
    1. Utilisateur anonyme
       
      sorry de la triple réponse ^^
      0
  7. Babouxx
     
    Allez le jeune homme collégien se lance dans la grande aventure ! :D

    Je viens de recuperer tout les logiciels, reste à les installer, je posterais les rapports :)
    0
  8. Babouxx
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:13:11, on 19/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    D:\Program Files\Bonjour\mDNSResponder.exe
    D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\lxdicoms.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\WINDOWS\system32\pctspk.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\Tablet.exe
    D:\WINDOWS\system32\WTablet\TabUserW.exe
    D:\WINDOWS\system32\Tablet.exe
    D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
    D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
    D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
    D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
    D:\Program Files\iTunes\iTunesHelper.exe
    D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    D:\WINDOWS\system32\Rundll32.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Messenger\Msmsgs.exe
    D:\Program Files\Hercules\WiFi Station\WifiStation.exe
    D:\Program Files\iPod\bin\iPodService.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\Program Files\MSN Messenger\usnsvc.exe
    D:\Program Files\KiddiesBarre\KiddiesBarre.exe
    D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {04D9DD72-F264-46BF-BA53-554521FB47A1} - D:\WINDOWS\system32\ljhij.dll
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - D:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
    O2 - BHO: (no name) - {3FA80F49-19D6-4FB9-B490-0482D5E1DFFE} - D:\WINDOWS\system32\nnlij.dll (file missing)
    O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - D:\Program Files\Dealio\kb106\Dealio.dll
    O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOWS\system32\pmnommk.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: SnapToolbarHelper Class - {8600AC1E-BE58-4FFC-BD5D-F2A8EC38C838} - D:\Program Files\Snap Visual Search\snapbar.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {957FFCD4-37FE-4397-9335-0E8840C6CF6D} - D:\WINDOWS\system32\awvsr.dll (file missing)
    O2 - BHO: {e35289ce-7159-cbc9-1804-337bdf554d7b} - {b7d455fd-b733-4081-9cbc-9517ec98253e} - D:\WINDOWS\system32\kbjjdkep.dll
    O3 - Toolbar: Snap Visual Search - {EF56413F-9398-4DF5-BC88-6FC3B227D5C5} - D:\Program Files\Snap Visual Search\snapbar.dll
    0
  9. Babouxx
     
    O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - D:\Program Files\Dealio\kb106\Dealio.dll
    O3 - Toolbar: Deenero - {5ADDE6F9-B220-488D-9ADE-9C20D3A31533} - D:\Program Files\Deenero\deenero_1,0,0,9.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SMSTray] D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
    O4 - HKLM\..\Run: [MAAgent] D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [au] D:\Program Files\Dealio\DealioAU.exe
    O4 - HKLM\..\Run: [lxdimon.exe] "D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
    O4 - HKLM\..\Run: [lxdiamon] "D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "D:\Program Files\\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [BM13f80d2d] Rundll32.exe "D:\WINDOWS\system32\iajqbwfu.dll",s
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\Msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\msagent" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE RÉSEAU')
    O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: WiFi Station.lnk = ?
    O8 - Extra context menu item: Compare Prices with &Dealio - D:\Program Files\Dealio\kb106\res\DealioSearch.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Casino-On-Net - {3015DB92-158E-4b77-9020-85C8E311FBB5} - D:\PROGRA~1\CASINO~1\casino.exe (file missing)
    O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - D:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
    O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - D:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    0
  10. Babouxx
     
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - D:\Program Files\Dealio\kb106\Dealio.dll
    O9 - Extra button: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{32BF34CB-80EF-4E87-80D6-B5805A601CDC}: NameServer = 192.168.3.1
    O20 - Winlogon Notify: pmnommk - D:\WINDOWS\SYSTEM32\pmnommk.dll
    O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Boonty Games - BOONTY - D:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
    O23 - Service: lxdi_device - - D:\WINDOWS\system32\lxdicoms.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe
    O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe
    0
  11. Babouxx
     
    Combien de temps il met le scan Vundofix ? Cela fait deja 4h que je l'ai lancé voir plus :S
    0
  12. Babouxx
     
    VundoFix V7.0.3

    Scan started at 14:23:15 19/03/2008

    Listing files found while scanning....

    D:\windows\system32\mljjk.dll
    D:\WINDOWS\system32\pmnommk.dll

    Beginning removal...

    Attempting to delete D:\windows\system32\mljjk.dll
    D:\windows\system32\mljjk.dll Has been deleted!

    Attempting to delete D:\WINDOWS\system32\pmnommk.dll
    D:\WINDOWS\system32\pmnommk.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete D:\WINDOWS\system32\pmnommk.dll
    D:\WINDOWS\system32\pmnommk.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    [03/19/2008, 20:36:27] - VirtumundoBeGone v1.5 ( "H:\VirtumundoBeGone.exe" )
    [03/19/2008, 20:36:35] - Detected System Information:
    [03/19/2008, 20:36:35] - Windows Version: 5.1.2600, Service Pack 2
    [03/19/2008, 20:36:35] - Current Username: Baptiste (Admin)
    [03/19/2008, 20:36:35] - Windows is in NORMAL mode.
    [03/19/2008, 20:36:35] - Searching for Browser Helper Objects:
    [03/19/2008, 20:36:36] - BHO 1: {04D9DD72-F264-46BF-BA53-554521FB47A1} ()
    [03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [03/19/2008, 20:36:36] - No filename found. Continuing.
    [03/19/2008, 20:36:36] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
    [03/19/2008, 20:36:36] - BHO 3: {100EB1FD-D03E-47FD-81F3-EE91287F9465} (ShoppingReport)
    [03/19/2008, 20:36:36] - BHO 4: {3FA80F49-19D6-4FB9-B490-0482D5E1DFFE} ()
    [03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [03/19/2008, 20:36:36] - Checking for HKLM\...\Winlogon\Notify\nnlij
    [03/19/2008, 20:36:36] - Key not found: HKLM\...\Winlogon\Notify\nnlij, continuing.
    [03/19/2008, 20:36:36] - BHO 5: {6A87B991-A31F-4130-AE72-6D0C294BF082} (DealioBHO Class)
    [03/19/2008, 20:36:36] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [03/19/2008, 20:36:36] - BHO 7: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [03/19/2008, 20:36:36] - No filename found. Continuing.
    [03/19/2008, 20:36:36] - BHO 8: {8600AC1E-BE58-4FFC-BD5D-F2A8EC38C838} (SnapToolbarHelper Class)
    [03/19/2008, 20:36:36] - BHO 9: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
    [03/19/2008, 20:36:36] - BHO 10: {957FFCD4-37FE-4397-9335-0E8840C6CF6D} ()
    [03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [03/19/2008, 20:36:36] - Checking for HKLM\...\Winlogon\Notify\awvsr
    [03/19/2008, 20:36:36] - Key not found: HKLM\...\Winlogon\Notify\awvsr, continuing.
    [03/19/2008, 20:36:36] - BHO 11: {b7d455fd-b733-4081-9cbc-9517ec98253e} ()
    [03/19/2008, 20:36:36] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [03/19/2008, 20:36:36] - Checking for HKLM\...\Winlogon\Notify\kbjjdkep
    [03/19/2008, 20:36:36] - Key not found: HKLM\...\Winlogon\Notify\kbjjdkep, continuing.
    [03/19/2008, 20:36:36] - Finished Searching Browser Helper Objects
    [03/19/2008, 20:36:36] - Finishing up...
    [03/19/2008, 20:36:36] - Nothing found! Exiting...
    0
  13. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonsoir
    très bien il manque combofix et un nouveau hijack
    qu'il faut poster en une seule fois ;-)

    @+
    0
  14. Babouxx
     
    ComboFix 08-03-18.1 - Baptiste 2008-03-19 21:09:42.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.192 [GMT 1:00]
    Endroit: H:\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    D:\Documents and Settings\Baptiste\Application Data\ShoppingReport
    D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\Config.xml
    D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\db\Aliases.dbs
    D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\db\Sites.dbs
    D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\dwld\WhiteList.xip
    D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\report\aggr_storage.xml
    D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\report\send_storage.xml
    D:\Documents and Settings\Baptiste\Application Data\ShoppingReport\cs\res2\WhiteList.dbs
    D:\Program Files\ShoppingReport
    D:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll
    D:\Program Files\ShoppingReport\Uninst.exe
    D:\WINDOWS\BM13f80d2d.xml
    D:\WINDOWS\cookies.ini
    D:\WINDOWS\pskt.ini
    D:\WINDOWS\system32\answciju.dll
    D:\WINDOWS\system32\bhojnxqx.dll
    D:\WINDOWS\system32\bxqnmkia.dll
    D:\WINDOWS\system32\byxuv.dll
    D:\WINDOWS\system32\cgwuvyyc.ini
    D:\WINDOWS\system32\cyyvuwgc.dll
    D:\WINDOWS\system32\ffubnops.dll
    D:\WINDOWS\system32\iajqbwfu.dll
    D:\WINDOWS\system32\jihjl.ini
    D:\WINDOWS\system32\jihjl.ini2
    D:\WINDOWS\system32\jilnn.ini
    D:\WINDOWS\system32\jilnn.ini2
    D:\WINDOWS\system32\jwegkmcn.ini
    D:\WINDOWS\system32\kbjjdkep.dll
    D:\WINDOWS\system32\lffvctmt.dll
    D:\WINDOWS\system32\mcrh.tmp
    D:\WINDOWS\system32\meduarcy.dll
    D:\WINDOWS\system32\ncmkgewj.dll
    D:\WINDOWS\system32\nlwaxomy.ini
    D:\WINDOWS\system32\nohnoxkq.dll
    D:\WINDOWS\system32\ppdghumn.dll
    D:\WINDOWS\system32\pxkgfslc.dll
    D:\WINDOWS\system32\reifaluv.dll
    D:\WINDOWS\system32\rsvwa.ini
    D:\WINDOWS\system32\rsvwa.ini2
    D:\WINDOWS\system32\sponbuff.ini
    D:\WINDOWS\system32\uedhfcqp.dll
    D:\WINDOWS\system32\ukqtedeo.dll
    D:\WINDOWS\system32\unqsfrwt.dll
    D:\WINDOWS\system32\vtust.dll
    D:\WINDOWS\system32\vumyofgs.dll
    D:\WINDOWS\system32\vvselcvu.dll
    D:\WINDOWS\system32\xdasckpr.dll
    D:\WINDOWS\system32\yhyuomjv.dll
    D:\WINDOWS\system32\yintudvh.dll
    D:\WINDOWS\system32\ymoxawln.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-02-19 to 2008-03-19 ))))))))))))))))))))))))))))))))))))
    .

    2008-03-19 21:19 . 2008-03-19 21:19 <REP> d-------- D:\WINDOWS\srchasst
    2008-03-19 21:19 . 2008-03-19 21:19 <REP> d-------- D:\WINDOWS\msagent
    2008-03-19 14:23 . 2008-03-19 20:24 <REP> d-------- D:\VundoFix Backups
    2008-03-19 14:10 . 2008-03-19 14:10 <REP> d-------- D:\Program Files\Trend Micro
    2008-03-18 21:10 . 2008-03-18 21:10 <REP> d-------- D:\Program Files\AdwareSpywareScannerDeleter
    2008-03-17 17:48 . 2008-03-17 17:48 1,354,800 ---hs---- D:\WINDOWS\system32\lomoekti.tmp
    2008-03-16 17:44 . 2008-03-16 17:44 1,366,743 ---hs---- D:\WINDOWS\system32\dfwhhalb.tmp
    2008-03-16 15:58 . 2008-03-16 15:58 1,366,983 ---hs---- D:\WINDOWS\system32\ogpqbaai.tmp
    2008-03-14 15:54 . 2008-03-15 15:59 1,366,803 ---hs---- D:\WINDOWS\system32\gblhrvto.ini
    2008-03-12 21:00 . 2008-03-12 21:00 <REP> d-------- D:\Program Files\Deenero
    2008-03-12 20:49 . 2008-03-12 20:49 <REP> d-------- D:\Program Files\KiddiesBarre
    2008-03-12 19:05 . 2008-03-13 09:01 1,343,375 ---hs---- D:\WINDOWS\system32\uhpywjkv.ini
    2008-03-12 19:05 . 2008-03-12 19:05 1,315,290 ---hs---- D:\WINDOWS\system32\bramlhok.tmp
    2008-03-10 17:38 . 2008-03-10 17:38 1,307,681 ---hs---- D:\WINDOWS\system32\vtsodmbd.tmp
    2008-03-07 16:54 . 2008-03-08 16:55 1,307,801 ---hs---- D:\WINDOWS\system32\ejuwwkye.ini
    2008-03-07 16:45 . 2008-03-07 16:54 1,307,621 ---hs---- D:\WINDOWS\system32\gekaruqt.ini
    2008-03-07 07:23 . 2008-03-06 16:22 294 --ahs---- D:\WINDOWS\system32\kdqdernv.ini
    2008-03-06 16:22 . 2008-03-06 16:22 1,306,857 ---hs---- D:\WINDOWS\system32\nsdbifjv.tmp
    2008-03-06 16:22 . 2008-03-06 16:22 1,306,677 ---hs---- D:\WINDOWS\system32\kdqdernv.tmp
    2008-03-04 22:58 . 2008-03-04 22:59 1,303,078 ---hs---- D:\WINDOWS\system32\xtmspjxj.ini
    2008-03-03 22:52 . 2008-03-04 22:59 1,303,018 ---hs---- D:\WINDOWS\system32\cwefnpvy.ini
    2008-03-03 22:52 . 2008-03-03 22:52 1,286,940 ---hs---- D:\WINDOWS\system32\ncdnjfrt.tmp
    2008-03-03 20:59 . 2008-03-03 20:59 <REP> d-------- D:\Program Files\ESET
    2008-03-03 20:59 . 2008-03-03 20:59 <REP> d-------- D:\Documents and Settings\All Users\Application Data\ESET

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-19 19:28 --------- d-----w D:\Documents and Settings\Baptiste\Application Data\WTablet
    2008-03-17 06:32 --------- d-----w D:\Documents and Settings\LocalService\Application Data\WTablet
    2008-03-04 17:54 --------- d-----w D:\Program Files\MSN Messenger
    2008-03-04 16:12 --------- d-----w D:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-03-04 07:12 --------- d--h--w D:\Program Files\InstallShield Installation Information
    2008-02-18 18:11 --------- d-----w D:\Program Files\Windows Live Safety Center
    2008-02-18 13:07 --------- d-----w D:\Documents and Settings\Baptiste\Application Data\Azureus
    2008-02-13 18:55 --------- d-----w D:\Documents and Settings\Baptiste\Application Data\Apple Computer
    2008-02-13 18:54 --------- d-----w D:\Program Files\iTunes
    2008-02-13 18:53 --------- d-----w D:\Program Files\iPod
    2008-02-13 18:52 --------- d-----w D:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-02-13 18:49 --------- d-----w D:\Program Files\Fichiers communs\Apple
    2008-02-13 18:42 --------- d-----w D:\Program Files\QuickTime
    2008-02-13 15:55 --------- d-----w D:\Program Files\mIRC
    2008-02-03 16:48 --------- d-----w D:\Program Files\StuffPlug3
    2008-02-03 16:36 --------- d-----w D:\Program Files\Windows Live
    2008-02-03 16:23 --------- dcsh--w D:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-01-30 11:38 34,312 ----a-w D:\WINDOWS\system32\drivers\epfwtdir.sys
    2008-01-30 11:35 39,944 ----a-w D:\WINDOWS\system32\drivers\eamon.sys
    2008-01-30 11:35 29,704 ----a-w D:\WINDOWS\system32\drivers\easdrv.sys
    2008-01-26 20:43 --------- d-----w D:\Program Files\Apple Software Update
    2008-01-26 20:43 --------- d-----w D:\Documents and Settings\All Users\Application Data\Apple
    2008-01-23 19:09 --------- d-----w D:\Program Files\eMule
    2008-01-23 19:01 --------- d-----w D:\Documents and Settings\Baptiste\Application Data\LimeWire
    2007-05-27 20:27 774,144 ----a-w D:\Program Files\RngInterstitial.dll
    2001-07-30 11:37 364,032 ----a-w D:\Program Files\volley.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3FA80F49-19D6-4FB9-B490-0482D5E1DFFE}]
    D:\WINDOWS\system32\nnlij.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8600AC1E-BE58-4FFC-BD5D-F2A8EC38C838}]
    2007-06-22 19:43 303104 --a------ D:\Program Files\Snap Visual Search\snapbar.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{957FFCD4-37FE-4397-9335-0E8840C6CF6D}]
    D:\WINDOWS\system32\awvsr.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{5ADDE6F9-B220-488D-9ADE-9C20D3A31533}"= "D:\Program Files\Deenero\deenero_1,0,0,9.dll" [2008-01-18 17:04 890408]

    [HKEY_CLASSES_ROOT\clsid\{5adde6f9-b220-488d-9ade-9c20d3a31533}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="D:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
    "MSMSGS"="D:\Program Files\Messenger\Msmsgs.exe" [2005-08-31 20:27 1658592]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2004-04-13 15:25 3309568]
    "nwiz"="nwiz.exe" [2004-04-13 15:25 782336 D:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2004-04-13 15:25 46080]
    "SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-08 17:24 126976]
    "MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-02-08 17:24 57344]
    "SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
    "au"="D:\Program Files\Dealio\DealioAU.exe" [2007-06-27 11:46 238936]
    "lxdimon.exe"="D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-05-07 19:07 435120]
    "lxdiamon"="D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-03-05 13:40 20480]
    "FaxCenterServer"="D:\Program Files\\Lexmark Fax Solutions\fm3032.exe" [2007-05-07 19:10 312240]
    "QuickTime Task"="D:\Program Files\QuickTime\QTTask.exe" [2008-01-31 23:13 385024]
    "iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2008-02-04 14:18 267048]
    "egui"="D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-01-30 12:37 1443072]
    "combofix"="D:\WINDOWS\system32\CF25264.exe" [2004-08-19 15:09 400896]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "SynchronousMachineGroupPolicy"= 0 (0x0)
    "SynchronousUserGroupPolicy"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "ForceClassicControlPanel"= 1 (0x1)
    "NoSimpleStartMenu"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoStrCmpLogical"= 1 (0x1)
    "NoResolveTrack"= 0 (0x0)
    "NoResolveSearch"= 0 (0x0)
    "NoSMMyPictures"= 0 (0x0)
    "NoStartMenuMFUprogramsList"= 0 (0x0)
    "NoUserNameInStartMenu"= 0 (0x0)
    "NoStartMenuMorePrograms"= 0 (0x0)
    "MaxRecentDocs"= 15 (0xf)
    "NoInstrumentation"= 0 (0x0)
    "MemCheckBoxInRunDlg"= 1 (0x1)
    "NoSMBalloonTip"= 0 (0x0)
    "DisallowCpl"= 1 (0x1)

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 16:51 192512]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "D:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "D:\\WINDOWS\\system32\\muzapp.exe"=
    "D:\\Program Files\\Lexmark 3500-4500 Series\\lxdiamon.exe"=
    "D:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe"=
    "D:\\Program Files\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"=
    "D:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe"=
    "D:\\Program Files\\Lexmark 3500-4500 Series\\lxdimon.exe"=
    "D:\\WINDOWS\\system32\\lxdicfg.exe"=
    "D:\\WINDOWS\\system32\\lxdicoms.exe"=
    "D:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"=
    "D:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"=
    "D:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe"=
    "D:\\WINDOWS\\system32\\lxdiih.exe"=
    "D:\\Program Files\\LimeWire\\LimeWire.exe"=
    "D:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdiwbgw.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "D:\\Program Files\\iTunes\\iTunes.exe"=
    "D:\\Program Files\\Messenger\\Msmsgs.exe"=
    "D:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "D:\\Program Files\\MSN Messenger\\livecall.exe"=

    R1 epfwtdir;epfwtdir;D:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-01-30 12:38]
    R2 lxdi_device;lxdi_device;D:\WINDOWS\system32\lxdicoms.exe [2007-04-26 16:38]
    R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe [2007-04-26 16:38]
    R2 Pctspk;PCTEL Speaker Phone;D:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47]
    R3 Ptserlp;PCTEL Serial Device Driver for PCI;D:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28]
    R3 USBSTOR;Pilote de stockage de masse USB;D:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
    R3 wacommousefilter;Wacom Mouse Filter Driver;D:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 20:12]
    R3 wacomvhid;Wacom Virtual Hid Driver;D:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 19:30]
    S3 Boonty Games;Boonty Games;"D:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-10-03 17:32]
    S3 usbscan;Pilote de scanneur USB;D:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
    S3 V0080Dev;Creative Camera VF0080 Driver;D:\WINDOWS\system32\DRIVERS\V0080Dev.sys [2005-05-06 15:11]

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-03-19 16:50:22 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - D:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-19 21:24:28
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    D:\Program Files\Bonjour\mDNSResponder.exe
    D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\WINDOWS\system32\Tablet.exe
    D:\WINDOWS\system32\WTablet\TabUserW.exe
    D:\Program Files\Windows Media Player\WMPNetwk.exe
    D:\Program Files\Hercules\WiFi Station\WifiStation.exe
    D:\Program Files\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-03-19 21:30:41 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-03-19 20:30:34
    .
    2008-01-20 08:42:10 --- E O F ---
    0
  15. Babouxx
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:40:29, on 19/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    D:\Program Files\Bonjour\mDNSResponder.exe
    D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdiserv.exe
    D:\WINDOWS\system32\lxdicoms.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\WINDOWS\system32\pctspk.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\Tablet.exe
    D:\Program Files\iPod\bin\iPodService.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
    D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
    D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
    D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
    D:\Program Files\iTunes\iTunesHelper.exe
    D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Messenger\Msmsgs.exe
    D:\Program Files\Hercules\WiFi Station\WifiStation.exe
    D:\WINDOWS\system32\WTablet\TabUserW.exe
    D:\WINDOWS\system32\Tablet.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {3FA80F49-19D6-4FB9-B490-0482D5E1DFFE} - D:\WINDOWS\system32\nnlij.dll (file missing)
    O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - D:\Program Files\Dealio\kb106\Dealio.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: SnapToolbarHelper Class - {8600AC1E-BE58-4FFC-BD5D-F2A8EC38C838} - D:\Program Files\Snap Visual Search\snapbar.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {957FFCD4-37FE-4397-9335-0E8840C6CF6D} - D:\WINDOWS\system32\awvsr.dll (file missing)
    O3 - Toolbar: Snap Visual Search - {EF56413F-9398-4DF5-BC88-6FC3B227D5C5} - D:\Program Files\Snap Visual Search\snapbar.dll
    O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - D:\Program Files\Dealio\kb106\Dealio.dll
    O3 - Toolbar: Deenero - {5ADDE6F9-B220-488D-9ADE-9C20D3A31533} - D:\Program Files\Deenero\deenero_1,0,0,9.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SMSTray] D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
    0
  16. Babouxx
     
    O4 - HKLM\..\Run: [MAAgent] D:\Program Files\MarkAny\ContentSafer\MAAgent.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [au] D:\Program Files\Dealio\DealioAU.exe
    O4 - HKLM\..\Run: [lxdimon.exe] "D:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
    O4 - HKLM\..\Run: [lxdiamon] "D:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "D:\Program Files\\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\Msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\msagent" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE RÉSEAU')
    O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: WiFi Station.lnk = ?
    O8 - Extra context menu item: Compare Prices with &Dealio - D:\Program Files\Dealio\kb106\res\DealioSearch.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Casino-On-Net - {3015DB92-158E-4b77-9020-85C8E311FBB5} - D:\PROGRA~1\CASINO~1\casino.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - D:\Program Files\Dealio\kb106\Dealio.dll
    O9 - Extra button: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @D:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{32BF34CB-80EF-4E87-80D6-B5805A601CDC}: NameServer = 192.168.3.1
    O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    0
  17. Babouxx
     
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Boonty Games - BOONTY - D:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
    O23 - Service: lxdi_device - - D:\WINDOWS\system32\lxdicoms.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - D:\WINDOWS\system32\pctspk.exe
    O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe
    0
    1. booddha
       
      Pourquoi tu coupes ce rapport sur trois message?

      Il faut le reconstituer après,

      Il tient sur un seul message.
      0
  18. Babouxx
     
    Oui mais il ne le poste pas quand je ne le met que sur 1 message, car j'ai une low connexion à internet...
    0
    1. booddha
       
      Ok, j'ignorais ce problême.
      0
  19. Utilisateur anonyme
     
    C'est la fête ici =')

    ( pour suivre )

    Ps: Vous ferez gaffe , sa version est non officielle ... ( crackée avec de la chance )
    0
  20. Utilisateur anonyme
     
    hello mister Cyril

    donc je crack le mien disons tu le vois a quoi? nan le mien n'est pas craké là mais l'ayant déjà eu ....tu le reconnais comment et il changera quoi face aux virus ? rester wga ou craké ca y change quoi en cas de euhhhhhhhhhhhhh trojans dison? des mises a jours aussi?

    et encore c que 2 questions lol

    kiss
    0
    1. Utilisateur anonyme
       
      Re ,

      Dans cette partie du rapport

      O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\msagent" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "D:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32


      J'ai pas tout souligné mais l'important y est.
      Le version d'IE aussi confirme defois ( pas tout le temps ) ici IE 6

      Eh bien le fait d'avoir une version non officielle , déja c'est plein d'emmerdes niveau sécurité ( failles , etc ... )
      Donc le pc sera très souvent infecté.
      De plus des outils tel que Combofix peuvent faire un massacre sur ce genre version ... ( experience personnelle )

      Certains pro disent même que c'est peine perdue de désinfecter ce genre de version.

      En effet le pc ne sera JAMAIS protégé correctement.

      Mais rien n'empeche d'essayer ;)

      D'ailleurs ça a l'air de bien se présenter ici =)

      A+
      0
    2. booddha > Utilisateur anonyme
       
      Quand tu dis non officielle, c'est quoi ?

      Crackée ?
      Il s'est fait bernée par une copie faites en Thaïlande ou ailleurs ?
      0
    3. Utilisateur anonyme > booddha
       
      Ouais crackée , genre un pote lui installe ' gratuitement ' ou alors un pti logiciel qui modifie windows pour éviter de l'activer ...

      Rien de bien glorieux
      0
    4. Utilisateur anonyme > booddha
       
      merci de ces précision , g wga et oui j'en prends soin car snif si pu d'ordi ^^ mais j'avais pas fais gaff lors du crack la différennce !!!!mauvaise fille je suis ^^

      merci d'avoir su m'expliquer et me montrer en + où on le voit!!!!!c sympas

      iss
      0
    5. Utilisateur anonyme > Utilisateur anonyme
       
      c vrai ca reste que du superficiel !!!et si plante bien ba c mort ^^
      0
  21. Babouxx
     
    Ouais flood en force xD !

    Bon je m'occupe de ce que tu m'a dit ep44 :)
    0
  • 1
  • 2