Sujet Précédent Sujet Suivant

Problème Spyware ...

Fermé
Leteemicien Messages postés 5 Date d'inscription dimanche 13 avril 2008 Statut Membre Dernière intervention 13 avril 2008 - 13 avril 2008 à 11:34
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 13 avril 2008 à 12:48
Bonjour,
J'ai un petit problème de fenêtre spyware comme quoi je suis déjà infecter et qui me propose un logiciel à télécharger pour les éliminer , J'ai déjà fais 2 scan spybot qui m'a trouver quelque spyware , ils sont éliminé mais le problème persiste ! J'ai un petit message de la part de spybot en bas de l'écran me disant que un programme essaie de changer un clef de registre , le message s'affiche toute les 20 seconde tant que je n'accepte pas que le programme change cette fameuse clef ...


Voilà mon rappot HijackThis , j'attend votre aide avec impatiente :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:22:59, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\Benjamin\Bureau\HiJackThis.exe
C:\WINDOWS\system32\notepad.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
A voir également:

10 réponses

Réponse 1 / 10
wanael Messages postés 159 Date d'inscription dimanche 4 février 2007 Statut Membre Dernière intervention 25 novembre 2009 4
13 avril 2008 à 11:41
salut
Fixe sa

O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe


et vérifie sa car je ne connait pas ses programme

O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll

et sa car je ne connais pas la tache

C:\WINDOWS\system32\hurkpmnm.exe


bon courage
0
Réponse 2 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 avril 2008 à 11:42
salut,
Supprime ton hijackthis , instalé ainsi il ne sert pas à grand chose (C:\Documents and Settings\Benjamin\Bureau\HiJackThis.exe )

Fait exactement ce qui suit:
télécharges et instales le logiciel HijackThis :

ftp://ftp.commentcamarche.com/download/HJTInstall.exe

Important :
1-Faire un click droit sur le lien ci-dessus et choisir "enregistrer la cible sous ... " et renommer Hijackthis en "thejack" .

Cliker sur thejack.exe pour lancer l'instale . laisses toi guider et instale le à l'endroit par défaut (C\: programme file \ ) .
A la fin tu doit avoir un raccouci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .

2-Renommer le prg HijackThis :
dans "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe", clik droit sur ce dernier et choisis "renommé" : tapes monjack et valide .

tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

double clik sur le raccourci du bureau,
Fais un scan monjack (ou HijackThis renommé) et postes le rapport générer pour analyse ...
0
Réponse 3 / 10
Leteemicien Messages postés 5 Date d'inscription dimanche 13 avril 2008 Statut Membre Dernière intervention 13 avril 2008
13 avril 2008 à 11:58
Salut
Merci de vos réponse si spontané !
J'ai suivi tes ordres sKe tout marche niquel sauf la derniere phrase :
double clik sur le raccourci du bureau,
Fais un scan monjack (ou HijackThis renommé)


Je doit faire un scan avec le Hijackthis renommer dans programme files ou le raccourci sur le bureau ?
0
Réponse 4 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 avril 2008 à 12:05
C'est la même chose ... en fait peut importe le nom du raccourci tant que la cible (l'exe dans prg file ) à bien été renommer =) .
Donc double click sur le racourci pour lancer le prg .
J'attend ton nouveau rapport ...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Leteemicien Messages postés 5 Date d'inscription dimanche 13 avril 2008 Statut Membre Dernière intervention 13 avril 2008
13 avril 2008 à 12:06
Merci beaucoup de votre aide :) :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:55, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - C:\WINDOWS\system32\mlJYrpND.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {37E8DF20-77A7-42A7-8649-79490FFD0F18} - C:\WINDOWS\system32\opnoolli.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5A10290E-89BB-488E-81CF-0344E97CA3D2} - C:\WINDOWS\system32\iiffFuus.dll (file missing)
O2 - BHO: (no name) - {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} - C:\WINDOWS\system32\ddcDvwVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: mlJYrpND - C:\WINDOWS\SYSTEM32\mlJYrpND.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
0
Réponse 6 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 avril 2008 à 12:10
on commence ...

Télécharger Vundofix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

Ce déconnecter et fermer toutes les applications qui sont en court le temps de la manipe.

Double-cliquer sur VundoFix.exe afin de le lancer.
Cliquer sur le bouton Scan for Vundo.

Lorsque le scan est complété, cliquer sur le bouton fix Vundo.

Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES

Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.

Le contenu du rapport est situé dans C:\vundofix.txt : postes ce rapport avec aussi un nouveau rapport monjack pour annalyse .
0
Réponse 7 / 10
Leteemicien Messages postés 5 Date d'inscription dimanche 13 avril 2008 Statut Membre Dernière intervention 13 avril 2008
13 avril 2008 à 12:23
Le rapport Vundo n'a rien donné :s :



VundoFix V7.0.3

Scan started at 12:13:22 13/04/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...




Est-il nessecaire que je refasse un rappot monjack.exe quand même ?
0
Réponse 8 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 avril 2008 à 12:29
Non pas besion ...
on continu :

Télécharger VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau , postes le.
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

puis ensuite, fait un autre scan monjack et postes le aussi .
0
Réponse 9 / 10
Leteemicien Messages postés 5 Date d'inscription dimanche 13 avril 2008 Statut Membre Dernière intervention 13 avril 2008
13 avril 2008 à 12:38
Voilà le scan virtu :



[04/13/2008, 12:32:24] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Benjamin\Bureau\VirtumundoBeGone.exe" )
[04/13/2008, 12:32:40] - Detected System Information:
[04/13/2008, 12:32:40] - Windows Version: 5.1.2600, Service Pack 2
[04/13/2008, 12:32:40] - Current Username: Benjamin (Admin)
[04/13/2008, 12:32:40] - Windows is in NORMAL mode.
[04/13/2008, 12:32:40] - Searching for Browser Helper Objects:
[04/13/2008, 12:32:40] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:40] - BHO 2: {02715E47-5A8E-495B-8F63-0D30470B8E72} ()
[04/13/2008, 12:32:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:40] - Checking for HKLM\...\Winlogon\Notify\mlJYrpND
[04/13/2008, 12:32:40] - Found: HKLM\...\Winlogon\Notify\mlJYrpND - This is probably Virtumundo.
[04/13/2008, 12:32:40] - Assigning {02715E47-5A8E-495B-8F63-0D30470B8E72} MSEvents Object
[04/13/2008, 12:32:40] - BHO list has been changed! Starting over...
[04/13/2008, 12:32:40] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:40] - BHO 2: {02715E47-5A8E-495B-8F63-0D30470B8E72} (MSEvents Object)
[04/13/2008, 12:32:40] - ALERT: Found MSEvents Object!
[04/13/2008, 12:32:40] - BHO 3: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/13/2008, 12:32:40] - BHO 4: {37E8DF20-77A7-42A7-8649-79490FFD0F18} ()
[04/13/2008, 12:32:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\opnoolli
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\opnoolli, continuing.
[04/13/2008, 12:32:41] - BHO 5: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[04/13/2008, 12:32:41] - BHO 6: {5A10290E-89BB-488E-81CF-0344E97CA3D2} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\iiffFuus
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\iiffFuus, continuing.
[04/13/2008, 12:32:41] - BHO 7: {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\ddcDvwVN
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\ddcDvwVN, continuing.
[04/13/2008, 12:32:41] - BHO 8: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - No filename found. Continuing.
[04/13/2008, 12:32:41] - BHO 9: {8A8E4972-0B1E-45E2-B3DB-193B0FD60766} ()
[04/13/2008, 12:32:41] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:41] - Checking for HKLM\...\Winlogon\Notify\xxywTLEX
[04/13/2008, 12:32:41] - Key not found: HKLM\...\Winlogon\Notify\xxywTLEX, continuing.
[04/13/2008, 12:32:41] - Finished Searching Browser Helper Objects
[04/13/2008, 12:32:41] - *** Detected MSEvents Object
[04/13/2008, 12:32:41] - Trying to remove MSEvents Object...
[04/13/2008, 12:32:42] - Terminating Process: IEXPLORE.EXE
[04/13/2008, 12:32:42] - Terminating Process: RUNDLL32.EXE
[04/13/2008, 12:32:43] - Disabling Automatic Shell Restart
[04/13/2008, 12:32:43] - Terminating Process: EXPLORER.EXE
[04/13/2008, 12:32:44] - Suspending the NT Session Manager System Service
[04/13/2008, 12:32:46] - Terminating Windows NT Logon/Logoff Manager
[04/13/2008, 12:32:48] - Re-enabling Automatic Shell Restart
[04/13/2008, 12:32:49] - File to disable: C:\WINDOWS\system32\mlJYrpND.dll
[04/13/2008, 12:32:49] - Renaming C:\WINDOWS\system32\mlJYrpND.dll -> C:\WINDOWS\system32\mlJYrpND.dll.vir
[04/13/2008, 12:32:49] - File successfully renamed!
[04/13/2008, 12:32:49] - Removing HKLM\...\Browser Helper Objects\{02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Removing HKCR\CLSID\{02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Adding Kill Bit for ActiveX for GUID: {02715E47-5A8E-495B-8F63-0D30470B8E72}
[04/13/2008, 12:32:49] - Deleting ATLEvents/MSEvents Registry entries
[04/13/2008, 12:32:49] - Removing HKLM\...\Winlogon\Notify\mlJYrpND
[04/13/2008, 12:32:49] - Searching for Browser Helper Objects:
[04/13/2008, 12:32:49] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[04/13/2008, 12:32:49] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/13/2008, 12:32:49] - BHO 3: {37E8DF20-77A7-42A7-8649-79490FFD0F18} ()
[04/13/2008, 12:32:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:49] - Checking for HKLM\...\Winlogon\Notify\opnoolli
[04/13/2008, 12:32:49] - Key not found: HKLM\...\Winlogon\Notify\opnoolli, continuing.
[04/13/2008, 12:32:49] - BHO 4: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[04/13/2008, 12:32:49] - BHO 5: {5A10290E-89BB-488E-81CF-0344E97CA3D2} ()
[04/13/2008, 12:32:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\iiffFuus
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\iiffFuus, continuing.
[04/13/2008, 12:32:50] - BHO 6: {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\ddcDvwVN
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\ddcDvwVN, continuing.
[04/13/2008, 12:32:50] - BHO 7: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - No filename found. Continuing.
[04/13/2008, 12:32:50] - BHO 8: {BCBAF0B9-116C-4AA8-A015-337EF1852861} ()
[04/13/2008, 12:32:50] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/13/2008, 12:32:50] - Checking for HKLM\...\Winlogon\Notify\xxywTLEX
[04/13/2008, 12:32:50] - Key not found: HKLM\...\Winlogon\Notify\xxywTLEX, continuing.
[04/13/2008, 12:32:50] - Finished Searching Browser Helper Objects
[04/13/2008, 12:32:50] - Finishing up...
[04/13/2008, 12:32:50] - A restart is needed.
[04/13/2008, 12:33:12] - Attempting to Restart via STOP error (Blue Screen!)










Et voici le scan monjack.exe demander :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:38:25, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\hurkpmnm.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02715E47-5A8E-495B-8F63-0D30470B8E72} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {37E8DF20-77A7-42A7-8649-79490FFD0F18} - C:\WINDOWS\system32\opnoolli.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5A10290E-89BB-488E-81CF-0344E97CA3D2} - C:\WINDOWS\system32\iiffFuus.dll (file missing)
O2 - BHO: (no name) - {5BA8979B-FBA5-4122-8D49-420D2FBDD86A} - C:\WINDOWS\system32\ddcDvwVN.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8A8E4972-0B1E-45E2-B3DB-193B0FD60766} - (no file)
O2 - BHO: (no name) - {98AF1757-3B08-4A58-9FE2-C46EF2A4B8A6} - C:\WINDOWS\system32\xxywTLEX.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\WINDOWS\vnbptxlf.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [qelomblh] C:\WINDOWS\system32\hurkpmnm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [wlsydnib] C:\WINDOWS\system32\kpydudyt.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingD4233] cmd /c del "C:\WINDOWS\system32smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [0nog9ROz1n] C:\Documents and Settings\All Users\Application Data\hgjkdkxk\zyhitkty.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: mlJYrpND - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
0
Réponse 10 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
13 avril 2008 à 12:48
maintenant tu vas faire ce-ci :

Télécharger ComboFix (par sUBs) sur le Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Démarrer en mode sans echec :
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

Double cliquer combofix.exe.

Appuyer sur la touche Y (Yes) pour démarrer le scan
Le rapport sera crée dans: C:\Combofix.txt

postes le rapport combo fix et un nouveau rapport monjack svp

Puis attends les instructions ...
0

Discussions similaires

Trojan alerte
Titou43 -
gen-hackman -

23 réponses
Problème Virus Trojan
jmpower -
bazfile -

4 réponses
Windows defender: avertissement de sécurité
surfinia -
Tchoumi -

20 réponses