Aïe Aïe Aïe Virus !

Question

Bonjour à tous , 

Voilà j'ai quelques blèmes avec mon pc il est infectés par divers Virus par ex : Pc Antispyware / system integrity scan wizard et peu-être des autres !

il y a un fichier que j'ai supprimer par accident ! = C:Windows\system32\kdcicihh.dll

Qui saurait m'aider a résoudre mes problèmes SVP .
D'avance je vous remercie 

Si réponse soyez simple et clair , je ne suis pas une pro en informatique , merci ;) 

Joselyne

cedric241 · Answer

bonsoir jocelyne 

fais ceci stp :

Télécharge HijackThis ici : 

-> https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation) 

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation) 

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

Post le rapport généré ici stp...

joselyne · Answer

Merci pour ta réponse ultra rapide ;)
Ci joint le rapport HijackThis

Bien à toi .


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:06, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\All Users\Application Data\alevgryh\kdqhuvaf.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Kiwee Toolbar2\1.5.131\kwtbaim.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\mhydezkx.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Program Files\Kiwee Toolbar2\1.5.131\KiweeIEToolbar.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KiweeHook] "C:\Program Files\Kiwee Toolbar2\1.5.131\kwtbaim.exe"
O4 - HKLM\..\Run: [80ede91d] rundll32.exe "C:\WINDOWS\system32\kdcicihh.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [irkltywa] C:\WINDOWS\system32\mhydezkx.exe
O4 - HKCU\..\Run: [uqccqpdt] C:\WINDOWS\system32\xmbgdyta.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [pW8pa16M8a] C:\Documents and Settings\All Users\Application Data\alevgryh\kdqhuvaf.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\MONPC~1\LOCALS~1\Temp\hpdj.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

cedric241 · Answer

OK 

va dans panneau de configuration
ajout et suppression de programmes

désinstal KIWEE TOOLBAR

Désinstal aussi java car il n est pas a jours (faille de sécurité) telecharge et instal cette version :

https://www.java.com/fr/download/manual.jsp

puis un conseil désinstal AVAST pour le remplacer par ANTIVIR (gratuit en anglais mais simple) sur ce lien :

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

ps : pour antivir si tu n es pas a l aise avec l anglais garde avast 

une fois cela effectué suis cette procédure :


================ NAVILOG =================== 

Pour Vista (si XP ou 2000, passer à la suite), 
l’UAC doit être désactivée lors de l'utilisation du fix. 
pour désactiver l'UAC : https://forum.malekal.com/viewtopic.php?f=59&t=6517 

Avec Antivir, la protection en temps réel doit être désactivée 
Antivir détecte certains composant de navilog1 comme néfaste. 
• Pour cela, faire un clic-droit sur l'icône Antivir (Petit parapluie sur fond rouge) en bas à droite à côté de l'horloge puis Disable Guard. 

• Télécharger Navilog1 http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
• Double click sur l'icône de Navilog1 pour lancer l'installation : 
• Choisir la langue d'installation : ici, on choisira le français puis cliquez sur Suivant 
• Click sur Suivant 
• Lire la licence utilisateur puis click sur Oui 
• Une fenêtre indique où Navilog1 va être installé (par défaut dans C:\Program Files\Navilog1\): 
• click sur Suivant 

Si l'installation ne veut pas se faire (Message comme quoi il y a un virus ou autre) 
refaire l'opération en mode sans échec. Et faire la suite dans ce mode (imprimer la procédure avant) 

• Une fois Navilog1 installé, une fenêtre permet de quitter l'installation. 
• Laisser la case Démarrer maintenant l'application installée cochée 
• click sur Fermer. 
• Sinon, pour l'ouvrir, double-click sur le raccourci navilog1 sur le bureau. 
• Taper f du clavier 
• Appuyer sur la touche Entrée. 
• Appuyer sur une touche du clavier pour continuer... 
• Navilog1 vérifie qu'il est bien installé : sans quoi, il faudra le réinstaller, 
comme indiqué dans la partie Installation de cet article. 
• Taper 1 dans menu principal de Navilog1 (ne pas faire le choix 2,3 ou 4 sans avis ou accord) 
• Appuyer sur la touche Entrée. 

Navilog1 va effectuer la recherche des fichiers infectieux du PC : cela peut prendre une dizaine de minutes... 

Navilog1 informe que la recherche est terminée : 
• Appuyer sur une touche du clavier pour afficher le rapport qu'il a généré. 
• Poster le rapport C:\fixnavi.txt ici 
(merci a Booddha pour cette réalisation)

joselyne · Answer

Voilà je viens de désinstaller les logiciels ci joint : 

désinstal KIWEE TOOLBAR ( OK ) 

Désinstal aussi java car il n est pas a jours (faille de sécurité) ( OK )

Concernat antivir oui j'ai des blèmes en Anglais , mais je peux essayer de l'installer ! 

Pour le fichier manquant dans le poste 1 , que dois je faire ? 

Le reste du rapport HijackThis était bon ? 

Bien à toi .

Joselyne .

cedric241 · Answer

le rapport hijackthis presente des infections 

pour antivir ok instal le et met le a jours

ensuite suis la procédure navilog stp

pour le fichier manquant y a deux solutions 

1 trouver quelqu un qui a xp faire une copie du fichier le mettre sur une clé usb puis le remettre a sa place (dans ton ordi( je sais pas si c est possible)

2 ou alors faire une restauration apres désinfections a une date a ce dit fichier était présent (plus plausible)

pour l instant suis la procédure navilog

joselyne · Answer

Re , 
Pas évident de faire l'operation avec navilog1 et antivir activé il le considère comme un virus ( conflit ) 
Et en plus antivir ouff pas la joie pour si retrouver !  

Ci joint le rapport navilog1 : 


Clean Navipromo version 3.5.3 commencé le 13/04/2008 à 21:57:18,29

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Mon Pc" 

Mise à jour le 09.04.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique
sans prise en charge résultats Catchme et GNS



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Mon Pc\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Mon Pc\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Mon Pc\menudm~1\progra~1" *** 


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Mon Pc\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Mon Pc\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 13/04/2008 à 22:02:51,75 ***

cedric241 · Answer

t as passé l option 2 ??

joselyne · Answer

la 2

cedric241 · Answer

ok 

fais ça stp:

Fais un scan avec cet antispyware : 

Telecharge malwarebytes + tutoriel : 

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp.

joselyne · Answer

re , 

Le logiciel " malwarebytes " est installé mis a jour et a bien commencé l'opération complète ( scan )
Il a déjà trouvé 22 élments infectés après 9 mn 20 sec , je ne sais pas très bien combien de temps ca va prendre pour faire le sacn ! seras tu là demain pour continuer à nettoyer mon pc ? 

Concrnant le fichier que j'ai supprimer par accident , je vais esayer de faire comme tu m'as dit = trouver un fichier via une connaissnce et puis copier/ coller ou faire un CHKDSK pour essayer de récuper l'erreur ! 

Bien à toi .

Si tu réponds direct ok , je vais le laisser travailler hors conncetion .

cedric241 · Answer

je reste la ce soir 

jusqu a minuit je pense

joselyne · Answer

re , 
Ok , je crois que l'operation ne va pas tarder a finir ! il est déjà dans Windows sysem32

Dès que terminé je colle le rapport 

Bien à toi

cedric241 · Answer

surtout supprime les infections

joselyne · Answer

re , 
Oui j'ai supprimé les fichiers infectés le seul problème est que j'ai loupé le rapport de fin , cause il y avait des fichiers que le logiciel ne savaient pas supprimer et ma demandé pour redamarrer le pc ! et hop , donc j'ai recommencé un autre Scan ! depuis 8 mn , l'autre avait duré 28 mn 

Je le poste dès que fini 

Bien à toi et un grand merci pour toutes ton aide .

cedric241 · Answer

si t as pas de rapport 

il sera dans l onglet rapport/log

joselyne · Answer

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 622

Re , 
J'avais sauvé celui ci avant de supprimer les fichiers infectés il y en avait une trantaine des fichiers infectés .
Maintenant il y en a peine 2 après 14 mn 

Biien à toi .


Type de recherche: Examen complet (C:\|)
Eléments examinés: 85293
Temps écoulé: 27 minute(s), 59 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 19
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
C:\WINDOWS\system32\xmbgdyta.exe (Trojan.FakeAlert) -> No action taken.

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\ddcDwvWm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqOETml.dll (Trojan.Vundo) -> No action taken.
C:\Program Files\PC-Antispyware\IeExtension.dll (Rogue.PC-Antispyware) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{b82f29e4-8368-4b14-9c00-5138c0d94034} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b82f29e4-8368-4b14-9c00-5138c0d94034} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcdwvwm (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cf97a880-e8a3-4fb3-b9f8-b9ed1ea8a89a} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cf97a880-e8a3-4fb3-b9f8-b9ed1ea8a89a} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{10f0c2a9-8e38-43e3-204d-45524c494e20} (Rogue.PC-Antispyware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10f0c2a9-8e38-43e3-204d-45524c494e20} (Rogue.PC-Antispyware) -> No action taken.
HKEY_CURRENT_USER\Software\mwc (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\pcsd (Rogue.PC-Cleaner) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers\pcsd (Rogue.PC-Cleaner) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{b82f29e4-8368-4b14-9c00-5138c0d94034} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\irkltywa (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uqccqpdt (Trojan.FakeAlert) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ssqoetml -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ssqoetml  -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\PC-Cleaner (Rogue.PC-Cleaner) -> No action taken.
C:\Program Files\PC-Antispyware (Rogue.PC-Antispyware) -> No action taken.
C:\Documents and Settings\Mon Pc\Application Data\PC-Cleaner (Rogue.PC-Cleaner) -> No action taken.

Fichier(s) infecté(s):
c:\WINDOWS\system32\ddcDwvWm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqOETml.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lmTEOqss.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lmTEOqss.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mhydezkx.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\xmbgdyta.exe (Trojan.FakeAlert) -> No action taken.
C:\Program Files\PC-Antispyware\IeExtension.dll (Rogue.PC-Antispyware) -> No action taken.
C:\System Volume Information\_restore{1C4A3768-AD04-442F-A784-1F26B43023CE}\RP113\A0068096.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{1C4A3768-AD04-442F-A784-1F26B43023CE}\RP113\A0068097.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{1C4A3768-AD04-442F-A784-1F26B43023CE}\RP131\A0080635.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Web\def.htm (Trojan.FakeAlert) -> No action taken.
C:\Program Files\PC-Antispyware\PopupBlocker.dll (Rogue.PC-Antispyware) -> No action taken.
C:\Documents and Settings\Mon Pc\Application Data\PC-Cleaner\log.dat (Rogue.PC-Cleaner) -> No action taken.
C:\Documents and Settings\Mon Pc\Application Data\PC-Cleaner\settings.dat (Rogue.PC-Cleaner) -> No action taken.
C:\WINDOWS\qdnkewfa.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\apoxqwfv.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\drivers\etc\.protected (Rogue.Ultimate.Defender) -> No action taken.
C:\.protected (Rogue.Ultimate.Defender) -> No action taken.

cedric241 · Answer

No action taken. 

cela veut dire que tu as pas supprimé 

??

joselyne · Answer

re , 
Le rapport c'était avant que je ne les supprimes !

cedric241 · Answer

ok tu me rassure

joselyne · Answer

re , 
Ci joint le rapport : 


Malwarebytes' Anti-Malware 1.11
Version de la base de données: 622

Type de recherche: Examen complet (C:\|)
Eléments examinés: 84909
Temps écoulé: 24 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ssqOETml.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lmTEOqss.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ddcDwvWm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

cedric241 · Answer

ok 

réouvre maleware byte 
va sur l onglet quarantaine 
supprime tout 

ensuite il a trouvé une infection vundo 

nous allonss passer un fix pour verifier si il y a des résidu 

fais ceci :

désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Va dans démarrer puis panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur désactiver et valide.

télécharge VundoFix à cette adresse: http://www.atribune.org/ccount/click.php?id=4 

* Double-clique sur VundoFix.exe 
* Clique sur le bouton Scan for Vundo 
* Si le programme te demande de supprimer des fichiers, dis oui 
* Lorsque le programme a fini de scanner ton pc, il doit être éteint, redémarre le. 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

joselyne · Answer

Re , ouh la déjà un blème ! je n'ai pas la fonction désactiver le compte utilisateur , j'ai beau regarder partout .

cedric241 · Answer

excuse moi y a erreure 

normal que tu n es pas cette fonction tu es sous xp

fais juste ça 

télécharge VundoFix à cette adresse: http://www.atribune.org/ccount/click.php?id=4 

* Double-clique sur VundoFix.exe 
* Clique sur le bouton Scan for Vundo 
* Si le programme te demande de supprimer des fichiers, dis oui 
* Lorsque le programme a fini de scanner ton pc, il doit être éteint, redémarre le. 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

joselyne · Answer

re , 
Ci joint le rapport 
Bien à toi .

VundoFix V7.0.3

Scan started at 23:34:23 13/04/2008

Listing files found while scanning....

No infected files were found.

cedric241 · Answer

OK RAS pour vundo 

fais ceci :

Télécharge Clean: 

-> http://www.malekal.com/download/clean.zip 

-> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1. 

Un rapport va s'ouvrir, copie et colle le contenu sur le forum. 

-> pour ceux ou celles qui auraient un doute sur comment deziper un fichier : 

http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914

joselyne · Answer

Ci joint le rapport 
Bien à toi  ;)

 14/04/2008 a  0:12:09,12 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\mcrh.tmp FOUND 
 
*** Recherche des fichiers dans C:\Program Files 
*** Fin du rapport !

cedric241 · Answer

Réouvre clean 

passe l option 2

puis envoi moi le rapport + un rapport hijackthis

joselyne · Answer

Ci joint les rapports 
Bien à toi .

Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 14/04/2008 a  0:20:00,07 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 
-----------------------------------------------------------------------------------------------------------------------------------------------



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:22:45, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Webcam Recorder\ml20gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {3BF84030-980B-4A48-99DC-F41A1284E2D3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [80ede91d] rundll32.exe "C:\WINDOWS\system32\kdcicihh.dll",b
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\MONPC~1\LOCALS~1\Temp\hpdj.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe

cedric241 · Answer

telecharge et instal btfix sur ce lien :

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/40698.html

puis lance la recherche et supprime 

poste moi le rapport s il te plait

joselyne · Answer

re , 
Ci joint le rapport 
Bien à toi 

BTFix 1.097 (par bibi26) - 14/04/2008 00:31:55 - Nettoyage - Mode normal
Lancé depuis C:\Documents and Settings\Mon Pc\Bureau\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés (Première passe)

 - Fichiers temporaires effacés
 - [Spécial : AdRotator] C:\WINDOWS\system32\bitsprx4.dll

---> Nettoyage terminé le 14/04/2008 00:32:01

cedric241 · Answer

ok comment va le pc ??

cedric241 · Answer

refais un scan hijackthis et post le nouveau rapport stp 

aussi

joselyne · Answer

Re , 

Nettement mieux , mais par précaution je vais essayer jusque demain ! es tu là demain ? 
Bien à toi

cedric241 · Answer

oui demain je serais la 

on termine 

envoi un rapport hijackthis please

joselyne · Answer

Ci joint le rapport : 
Encore un grand merci pour toutes ton aide 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:37:33, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Webcam Recorder\ml20gui.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {3BF84030-980B-4A48-99DC-F41A1284E2D3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [80ede91d] rundll32.exe "C:\WINDOWS\system32\kdcicihh.dll",b
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\MONPC~1\LOCALS~1\Temp\hpdj.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

joselyne · Answer

Ok pour demain 
Le rapport est envoyé 
Bien à toi .

cedric241 · Answer

ferme hijackthis 

puis réouvre le 

fais scan only 

supprime ces lignes :

O2 - BHO: (no name) - {3BF84030-980B-4A48-99DC-F41A1284E2D3} - (no file) 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab 
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ 
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com 

pour les supprimer tu les coches ensuite tu clic sur fix checked

ensuite ( si c est la version gratuite) désinstal adobe reader acrobat car il n est pas a jours (faille de sécurité)
et telecharge et instal cette version :

https://get2.adobe.com/reader/otherversions/

apres défragmente le disque c

va dans poste de travail
fais un clic droit sur le disque c
chosi propriete
va sur l onglet outil
choisi défragmenter maintenant

pendant ce temps la fais ça 

ouvre la commande executer (touche windows+ R)
tape msconfig
va sur l onglet démarrage
fais moi la liste des programmes qui s y trouvent 


apres je te ferais enlever tous les logiciles de désinfection

joselyne · Answer

Bonjour , 

hijackthis ( ok )
Défragmentation ( ok )
Ci joint le liste des programmes qui s'ouvrent  
Bien à toi .

Dans démarrage : 
Les cases cochées  = 
-	Hpztsb09  ------- C:\Windows\system32\spool\drivers\w32x86\3\ hpztsb09.exe
-	Realsched -------C:\program files\fichiers communs\real\update_OB\ Realsched.exe
-	CPF --------------- C:\program  files\comodo\firewall\CPF.exe ‘ /background.
-	Ceci = le fameux fichier disparu par accident voir en poste 1  ! kdcicihh --------- rundll32.exe ‘ C\Windows\system32\kdcicihh.dll ’, b
-	Jusched --------- C:\program files\java\jre1.6_05\bin\jusched.exe’
-	Avgnt ------------C :\program files\avira\antivir personaledition classic\avgnt.exe’
-	Reader_sl  ------C:\program files\adobe\reader 8.0\reader\reader\_sl.exe
-	Ctfmon  --------C:\Windows\system32\ctgmon.exe
-	NMBgMonitor –C:\program files\fichiers communs\ahead\lib\NMBgMonitor.exe
-

cedric241 · Answer

tu peux décoché ça :

- Reader_sl ------C:\program files\adobe\reader 8.0\reader\reader\_sl.exe 

clis sur appliquer et redémarre  

au redémarrage tu auras un message comme quoi le démarrage a été modifié

n en tiens pas compte il disparaitra au démarrage suivant

ensuite envoi un nouveau rapport hijackthis stp 

pour verif

joselyne · Answer

re , 
Ci joint le rapport : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:04, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [80ede91d] rundll32.exe "C:\WINDOWS\system32\kdcicihh.dll",b
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\MONPC~1\LOCALS~1\Temp\hpdj.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

cedric241 · Answer

ton rapport est propre !!!



Maintenant , nous allons supprimer les logiciels de désinfection que je t'ai fait téléchargé. 
En effet , s'en servir est dangereux pour le pc si l'on ne s'y connais pas. 
De plus ils sont mis régulièrement à jours. 


? Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau. 


http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

? Double clique sur ToolsCleaner2.exe > 
? Clique sur .Recherche 
? puis sur Suppression quand la liste est trouvée. 
? Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante : 

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches. 
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter" 

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau 

Tuto : https://www.commentcamarche.net/list 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

joselyne · Answer

Re ,
ci joint le rapport 
!!! le lien tuto de ToolsCleaner2 ne fonctionne plus ou pas ! 

J'ai quelques problèmes avec antivir y a t'il un tuto valable pour les bonnes explications STP ? et surtout que je sache m'en servir convenablement de l'antivirus ! .
Bien à toi .

-->- Recherche: 

C:\Vundofix backups: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Mon Pc\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.lnk: trouvé !
C:\Documents and Settings\Mon Pc\Bureau\Clean.zip: trouvé !
C:\Documents and Settings\Mon Pc\Bureau\BtFix.zip: trouvé !
C:\Documents and Settings\Mon Pc\Bureau\Navilog1.exe: trouvé !
C:\Documents and Settings\Mon Pc\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\Mon Pc\Bureau\Btfix: trouvé !
C:\Documents and Settings\Mon Pc\Bureau\Bureau 02\HJTInstall.exe: trouvé !
C:\Documents and Settings\Mon Pc\Bureau\Bureau 02\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Mon Pc\Bureau\Bureau 02\SmitFraudfix: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Mon Pc\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.lnk: supprimé !
C:\Documents and Settings\Mon Pc\Bureau\Clean.zip: supprimé !
C:\Documents and Settings\Mon Pc\Bureau\BtFix.zip: supprimé !
C:\Documents and Settings\Mon Pc\Bureau\Navilog1.exe: supprimé !
C:\Documents and Settings\Mon Pc\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\Mon Pc\Bureau\Bureau 02\HJTInstall.exe: supprimé !
C:\Documents and Settings\Mon Pc\Bureau\Bureau 02\SmitFraudFix.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Vundofix backups: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\Mon Pc\Bureau\Btfix: supprimé !
C:\Documents and Settings\Mon Pc\Bureau\Bureau 02\SmitFraudfix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

cedric241 · Answer

ok parfait 

reste plus que ton fichiers !!!

don ce que je te conseil

c est de faire une retauration a la veille de le suppression de ce dit fichier

connais tu cette datte ??

joselyne · Answer

re 
non je ne sais plus très bien la date de suppression du fichier Samedi ou dimanche

cedric241 · Answer

dans ce cas choisi vendredi

tu connais le chemin pour faire le restauration ??

moi j ai vista je sais plus le chemin pour xp

mais je te donne celui de vista en espérent que ce soit pareil

va dans panneau de configuration

affichage classique

centre de sauvegarde et de restauration

joselyne · Answer

re , 
Je viens d'effectuer une restauration system a la date de vendredi ! 
a la fin il m'indique qu'il n'y a eu de modification effectuée sur mon ordinateur !

cedric241 · Answer

??

essai une date plus ancienne ....

avant verifie quand meme si le fichiers répond present

cedric241 · Answer

as tu le cd windows ??

cedric241 · Answer

ce qui etrange c est que ce fichier apparait dans hijackthis

joselyne · Answer

re , 
Oui j'ai le Cd Windows

cedric241 · Answer

ok avec le cd

tu l insere 

tu redémarre le pc 

a l invite de commande tu appui sur une touche pour démarre le cd

tu choisi réparer

joselyne · Answer

re , 
non je n'y arrive pas a arrager ce fameux fichier !  

C:Windows\system32\kdcicihh.dll

cedric241 · Answer

il doit certainement y avoir une possibilté

je t invite a ouvrir un nouveau sujet pour ce fichier

car ayant vista je n ai pas ce fichier donc je ne peux te conseiller 

sorry

joselyne · Answer

re cedric241 , 
Je te remercie beaucoup pour toutes ton aide que tu m'as apporté concernant mes gros problèmes de Virus grace a toi mon pc est top ! 

Si j'ai encore besoin d'aide ( Virus ) je peux compter sur toi ? Bien à toi et encore un grand merci pour toute te patience .

cedric241 · Answer

en fait je part demain pour Barcelone pour le travail

donc je ne serai plus sur le forum

par contre je te recommande vivement d autre helpeur 

comme booddha et ^^Marie^^

voila bonne continuation en espérant que tu résolve le probleme du fichier 

ps : change le statut du sujet en résolu stp

joselyne · Answer

re , 

je te souhaite de passer un beau séjour labà ! Espagna olé 

Merci pour les infos , je conserve ce document ci pour memo dans mes fichiers de mon 2 ème DD .

Bien à toi .

Joselyne .

cedric241 · Answer

ok :

bon surf !!

et merci

joselyne · Answer

Bonsoir cedric241 comme tu me l'as dit tu es partit en Espagne et tu m'as dit que en cas de problèmes , je pouvais demander a  booddha et ^^Marie^^  , voilà j'ai encore un blème de pc , j'ai plein des trucs qui ne vont pas .
Mon pc est très lent et bien d'autres choses .
SVP de l'aide 

D'avance merci 

Joselyne

Aïe Aïe Aïe Virus !

58 réponses

Votre réponse

Discussions similaires

Newsletters