Bonjour, j'ai été infecté par le TR/Vundo.Gen et Is the trojan horse TR/Vundo.Gen et Is the trojan horse TR/PCK Monder.88128.1 et Is the trojan horse TR/Vundo et Is the trojan horse TR/Agent3648.1 et enfin Is the trojan horse TR/PCK Monder.83520 J'ai fait un "scan for vundo" comme me la conseillé un ami mais au redémarrage de l'ordi antivir me les retrouve encore. je ne sais pas trop quoi faire, d'autant que je n'y connais pas grand choses... Merci de m'expliquer avec des mots pas trop compliqués la marche à suivre pour m'en débarrasser. Je vous en serais éternellement reconnaissant

TR vundo gen [Résolu]

Réponse 1 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Salut Funny girl ;-)

antivir me les retrouve encore Dons Avira est opérationnel, ce n'est pas du Bagle .

Commence par un rapport HJT ( renommé ) , suivi de Vundofix et Virtumonde....

@+ ;-)

Réponse 2 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Allez, je me permet de poster les speach de ^^Marie^^

Ensuite je te laisse la main ;-)))

Hijackthis - Outil de diagnostic et réparation
télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
https://kerio.probb.fr/
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Fais un clic droit sur l'icone Hijackthis
http://www.cijoint.fr/cjlink.php?file=cj200803/cij5499182416009.jpg
Clic droit > choisis "renommer" marque (tu écris) : ccm.exe
http://www.cijoint.fr/cjlink.php?file=cj200803/cij7468165006040.jpg
( ou : Clic droit sur démarrer > clic explorer > c:\ > program files > double clic sur " Trend micro "
> clic droit sur Hijack > renommer > et nomme ccm ) !

Ensuite, relance le
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Ensuite

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt

Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse

ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Bon courage

A+

Utilisateur anonyme

bienvenue à toi et ^^Marie^^ mode off ^^

bises

Réponse 3 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Attention, cette manip est faite pour ce cas précis !
Toute réutilisation pour un autre ordinateur est susceptible d'endommager gravement le système.

on reprend
ComboFix avec CFScript :

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

file::

C:\WINDOWS\System32\pmkjh.dll
C:\WINDOWS\System32\iwjijxwg.dll

registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F2B2726-1188-4F43-BE6F-B0825AC1F5FF}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b1d61330-4143-4451-8bfe-35a956cb5ee9}]

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau )
* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
* Reactive ton Antivirus avant de te reconnecter...
* Poste aussi un nouveau rapport Hijackthis stp et dis moi si tu constates des améliorations ...

@+

Réponse 4 / 44

Utilisateur anonyme

salut

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer. Dans 24 heures environ, sur le site, la version de déchargement (v10.24 dans l'exemple) aura changé par rapport à celle actuelle. Tu retéléchargeras l'outil, tu le relanceras et tu posteras le rapport.

bises

Réponse 5 / 44

poisson01 Messages postés 27 Statut Membre

je vois ou est le dossier infosat (mais il n'y a pas le ".txt" à la fin est ce un problème?
comment fait on pour poster le rapport final?

merci

Utilisateur anonyme

tu le poste ici également

poisson01 Messages postés 27 Statut Membre > Utilisateur anonyme

Wed Apr 16 22:00:22 2008
EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Apr 16 22:00:43 2008
EliBagle v11.27 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2328
Nº Total de Ficheros: 140625
Nº de Ficheros Analizados: 6022
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

bonjour, j'ai fait copier/coller; c'est byzarre non il ne trouve aucun fichiers infecté pourtant pour que mon ordi ouvre les fenêtres voulu je met en quarantaine un virus à chaque fois... C'est long. Je ne sais pas si ca à un rapport mais de temps en temps j'ai une fenêtre qui me dit que browser.txt (je crois) ne va pas bien et qu 'il faut envoyer un rapport a microsoft je met "ne pas envoyer" et puis c'est fini ! je nage comme un poisson dans l'eau...

Réponse 6 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Comment çà mode off ??

Ensuite je te laisse la main ;-)))

Allez, au boulot ;-p

@+

Réponse 7 / 44

poisson01 Messages postés 27 Statut Membre

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:33, on 17/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Orange\browser\browser.exe
C:\ccm.exe\HijackThis.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: (no name) - {22342B44-5B98-4B30-9D53-C182AD8DF217} - C:\WINDOWS\System32\tuvusqr.dll
O2 - BHO: (no name) - {2F2B2726-1188-4F43-BE6F-B0825AC1F5FF} - C:\WINDOWS\System32\pmkjh.dll (file missing)
O2 - BHO: (no name) - {3C2D64E8-865C-4999-A39A-1177A1FE2811} - C:\WINDOWS\System32\awtqr.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: {9ee5bc65-9a53-efb8-1544-341403316d1b} - {b1d61330-4143-4451-8bfe-35a956cb5ee9} - C:\WINDOWS\System32\iwjijxwg.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [bm] "C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" dm=https://avsystemcare.com/ ad=https://avsystemcare.com/ sd=http://gregistre.avsystemcare.com
O4 - HKLM\..\Run: [ptask] C:\Program Files\AVSystemCare\ptask.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O20 - Winlogon Notify: tuvusqr - C:\WINDOWS\SYSTEM32\tuvusqr.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Réponse 8 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Salut !

C'est bien du vundo....

Fais la suite stp...

@+

Réponse 9 / 44

poisson01 Messages postés 27 Statut Membre

après avoir réglé ce problème je me pencherais un peu plus sur le fonctionnement de ce site...

Jai fait le scan for vundo et il ne m'a rien trouvé je n'ai pas d'icone remove vundo moi j'ai fix vundo est ce la même?

Réponse 10 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Tu as bien ces fenetres ?
http://img57.imageshack.us/img57/7814/capture02md7.jpg

Comment ça il n'y a pas de vundo ?
O2 - BHO: (no name) - {22342B44-5B98-4B30-9D53-C182AD8DF217} - C:\WINDOWS\System32\tuvusqr.dll
http://www.castlecops.com/tk42766-random_filename.html

On passe a la vitesse supérieure...

Télécharge Combofix à partir d'un de ces liens :

ComboFix bleepingcomputer
ComboFix forospyware
Et important, enregistre le sur le bureau.

Si ton antivirus te signale un trojan , risktools ou quoi que ce soit, il faut choisir ignorer car c'est une erreur de detection.
Il detecte en fait un composant de l'outil de nettoyage.

Avant d'utiliser ComboFix :
Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. /!\

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt

-Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
- Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Regarde ce Tutoriel si besoin.

@+

poisson01 Messages postés 27 Statut Membre

bon j'ai à peu près compris, pour vundo c'est la version vundofixV7.0.3 c'est sur un fond bleu.
Si j'ai bien compris le 02 HBO... est un virus et c'est vrai qu il ne revient plus en détection, il reste le C:/WINDOWS/Systeme32/awtqr.dll

Pour antivir c'est ok mais c'est quoi un anti spyware, je ne sais pas si j'en ai ou pas...

Merci pour tes conseils et ta patience jusqu'à maintenant

Réponse 11 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

c'est quoi un anti spyware, je ne sais pas si j'en ai ou pas...

Tu n'en as pas...

Fais combofix...

@+

poisson01 Messages postés 27 Statut Membre

reprise du combat après le repas... je ne trouve pas comment désactiver antivir. J'essaye de fermer le paraplui rouge de l'icone sur la barre en bas mais les détections continuent à arriver.
Jai bien le mode d'emploi en francais mais il ne parle pas de la désactivation
Je m'excuse encore pour le dérangement occasionné

Réponse 12 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Une fois que tu as téléchargé combofix, tu te déconnecte du net ( tu quittes IE ) et tu clic droit sur le parapluie, et ensuite, tu clique sur sur " ANTIVIR GUARD ENABLE "
Le parasol se fermera...

@+

Réponse 13 / 44

poisson01 Messages postés 27 Statut Membre

voici le rapport de combo, je n'ai pas eu de détection à l'ouverture du pc, le rapport hyjack arrive...

ComboFix 08-04-16.5 - Administrateur 2008-04-17 22:03:11.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.1672 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\AVSystemCare
C:\Documents and Settings\Administrateur\Application Data\AVSystemCare\Logs\threats.log
C:\Documents and Settings\Administrateur\Application Data\AVSystemCare\Logs\update.log
C:\WINDOWS\Downloaded Program Files\UGA6PV_0001_N122M1202NetInstaller.exe
C:\WINDOWS\system32\arqilvgn.dll
C:\WINDOWS\system32\awtqr.dll
C:\WINDOWS\system32\eolcehaf.dll
C:\WINDOWS\system32\fwdhpbiw.dll
C:\WINDOWS\system32\haxocbvk.dll
C:\WINDOWS\system32\hbrcbylc.ini
C:\WINDOWS\system32\hifbttfa.dll
C:\WINDOWS\system32\hqlegoxb.dll
C:\WINDOWS\system32\igfhprus.dll
C:\WINDOWS\system32\khfjnhdl.dll
C:\WINDOWS\system32\kililimx.dll
C:\WINDOWS\system32\lbjblxvs.dll
C:\WINDOWS\system32\mbbngirq.dll
C:\WINDOWS\system32\nahfsrdb.dll
C:\WINDOWS\system32\oegmemfr.ini
C:\WINDOWS\system32\ogspbpja.ini
C:\WINDOWS\system32\qrignbbm.ini
C:\WINDOWS\system32\rjndphjd.dll
C:\WINDOWS\system32\rqtwa.ini
C:\WINDOWS\system32\rqtwa.ini2
C:\WINDOWS\system32\syavhstu.dll
C:\WINDOWS\system32\tuvusqr.dll
C:\WINDOWS\system32\wmndciuk.dll
C:\WINDOWS\system32\xppwwmfq.dll
.
---- Previous Run -------
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-17 to 2008-04-17 ))))))))))))))))))))))))))))))))))))
.

2008-04-17 17:52 . 2008-04-17 17:56 <REP> d-------- C:\ccm.exe
2008-04-16 16:52 . 2008-04-16 16:52 <REP> d-------- C:\Program Files\MSN Messenger
2008-04-14 16:59 . 2008-04-17 18:03 <REP> d-------- C:\VundoFix Backups
2008-04-01 17:59 . 2008-04-01 17:59 10,752 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Program Files\Avira
2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-03-25 21:53 . 2008-03-26 16:58 1,491,277 ---hs---- C:\WINDOWS\system32\xpalatne.ini
2008-03-24 20:06 . 2008-03-25 21:48 1,547,285 ---hs---- C:\WINDOWS\system32\emfkrwkh.ini
2008-03-20 21:46 . 2008-03-24 20:01 1,502,561 ---hs---- C:\WINDOWS\system32\crnfuthl.ini
2008-03-20 20:46 . 2008-03-20 20:46 1,465,028 ---hs---- C:\WINDOWS\system32\mxojhmch.ini
2008-03-19 20:23 . 2008-03-20 20:37 1,484,104 ---hs---- C:\WINDOWS\system32\odtkmyoh.ini
2008-03-18 20:25 . 2008-03-19 17:47 1,428,030 ---hs---- C:\WINDOWS\system32\hkgjxwwa.ini
2008-03-17 20:15 . 2008-03-18 20:16 1,968,390 ---hs---- C:\WINDOWS\system32\qbnpqhnm.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-17 21:08 --------- d-----w C:\Program Files\Steam
2008-03-16 19:41 99,904 ----a-w C:\WINDOWS\system32\iffpmikh.dll
2008-03-16 19:36 95,296 ----a-w C:\WINDOWS\system32\umamaupj.dll
2008-03-16 19:20 99,904 ----a-w C:\WINDOWS\system32\jedeokrg.dll
2008-03-16 19:14 95,296 ----a-w C:\WINDOWS\system32\pfiifaor.dll
2008-03-15 09:02 98,368 ----a-w C:\WINDOWS\system32\pmbklebx.dll
2008-03-15 08:53 96,832 ----a-w C:\WINDOWS\system32\bxcsykxy.dll
2008-03-11 16:42 --------- d-----w C:\Program Files\MSN Toolbar
2008-03-10 17:42 --------- d-----w C:\Program Files\MSN Apps
2008-03-06 20:35 --------- d-----r C:\Documents and Settings\All Users\Application Data\SalesMon
2008-03-05 18:13 17,929,072 ----a-w C:\Install_Messenger.exe
2008-02-25 18:01 --------- d-----w C:\Program Files\Alwil Software
2008-02-23 13:31 --------- d-----w C:\Program Files\Orange
2008-02-23 13:30 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
2008-02-23 13:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-23 13:24 --------- d-----w C:\Program Files\Securitoo
2008-02-23 13:24 --------- d-----w C:\Program Files\SAGEM
2008-02-23 13:24 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\InstallShield
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F2B2726-1188-4F43-BE6F-B0825AC1F5FF}]
C:\WINDOWS\System32\pmkjh.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b1d61330-4143-4451-8bfe-35a956cb5ee9}]
C:\WINDOWS\System32\iwjijxwg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="C:\Program Files\Steam\Steam.exe" [2008-03-30 18:50 1271032]
"AVSystemCare"="C:\Program Files\AVSystemCare\pgs.exe" [ ]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-06-14 17:05 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 07:49 16377344 C:\WINDOWS\RTHDCPL.exe]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 19:37 69216]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 21:08 94208]
"ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 20:10 102400]
"QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-02-25 21:04 385024]
"bm"="C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" [ ]
"ptask"="C:\Program Files\AVSystemCare\ptask.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-26 19:50 249896]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 15:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 14:04]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-17 22:08:33
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0[/u]\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\[u]0[/u]\AlertModule.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-17 22:09:26 - machine was rebooted [Administrateur]
ComboFix-quarantined-files.txt 2008-04-17 21:09:24

Pre-Run: 28,834,955,264 octets libres
Post-Run: 31,698,075,648 octets libres

Réponse 14 / 44

poisson01 Messages postés 27 Statut Membre

et voici le rapport hyjack, c'est dingue comment tu/ vous faites pour vous y retrouver dans tout ce fourbi. Ca m'imperssionne !!! Une dernière question est ce que je garde toute les fonction hyjack, vundo,combo, elbalia...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:15, on 17/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Orange\browser\browser.exe
C:\ccm.exe\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: (no name) - {2F2B2726-1188-4F43-BE6F-B0825AC1F5FF} - C:\WINDOWS\System32\pmkjh.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: {9ee5bc65-9a53-efb8-1544-341403316d1b} - {b1d61330-4143-4451-8bfe-35a956cb5ee9} - C:\WINDOWS\System32\iwjijxwg.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [bm] "C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" dm=https://avsystemcare.com/ ad=https://avsystemcare.com/ sd=http://gregistre.avsystemcare.com
O4 - HKLM\..\Run: [ptask] C:\Program Files\AVSystemCare\ptask.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Réponse 15 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

Une dernière question est ce que je garde toute les fonction hyjack, vundo,combo, elbalia...

ce n'est pas fini ( même si combo a supprimé plein de K K ...)
On verra a la fin...

je regarde ça en détail...

@+

Réponse 16 / 44

poisson01 Messages postés 27 Statut Membre

j'ai crée le document texte "CFScript" et je l'ai glissé sur le combo qui a lancé la même recherche que celle que j'ai faite auparavant. J'ai du louper un truc mais je sais pas où en tout cas j'ai bien suivi ce que tu m'as marqué mais il n'y a pas eu de choix 1 à prendre. Voici quand meme le rapport

ComboFix 08-04-16.5 - Administrateur 2008-04-17 22:49:31.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.1677 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\System32\iwjijxwg.dll
C:\WINDOWS\System32\pmkjh.dll
.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-17 to 2008-04-17 ))))))))))))))))))))))))))))))))))))
.

2008-04-17 17:52 . 2008-04-17 22:15 <REP> d-------- C:\ccm.exe
2008-04-16 16:52 . 2008-04-16 16:52 <REP> d-------- C:\Program Files\MSN Messenger
2008-04-14 16:59 . 2008-04-17 18:03 <REP> d-------- C:\VundoFix Backups
2008-04-01 17:59 . 2008-04-01 17:59 10,752 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Program Files\Avira
2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-03-25 21:53 . 2008-03-26 16:58 1,491,277 ---hs---- C:\WINDOWS\system32\xpalatne.ini
2008-03-24 20:06 . 2008-03-25 21:48 1,547,285 ---hs---- C:\WINDOWS\system32\emfkrwkh.ini
2008-03-20 21:46 . 2008-03-24 20:01 1,502,561 ---hs---- C:\WINDOWS\system32\crnfuthl.ini
2008-03-20 20:46 . 2008-03-20 20:46 1,465,028 ---hs---- C:\WINDOWS\system32\mxojhmch.ini
2008-03-19 20:23 . 2008-03-20 20:37 1,484,104 ---hs---- C:\WINDOWS\system32\odtkmyoh.ini
2008-03-18 20:25 . 2008-03-19 17:47 1,428,030 ---hs---- C:\WINDOWS\system32\hkgjxwwa.ini
2008-03-17 20:15 . 2008-03-18 20:16 1,968,390 ---hs---- C:\WINDOWS\system32\qbnpqhnm.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-17 21:08 --------- d-----w C:\Program Files\Steam
2008-03-16 19:41 99,904 ----a-w C:\WINDOWS\system32\iffpmikh.dll
2008-03-16 19:36 95,296 ----a-w C:\WINDOWS\system32\umamaupj.dll
2008-03-16 19:20 99,904 ----a-w C:\WINDOWS\system32\jedeokrg.dll
2008-03-16 19:14 95,296 ----a-w C:\WINDOWS\system32\pfiifaor.dll
2008-03-15 09:02 98,368 ----a-w C:\WINDOWS\system32\pmbklebx.dll
2008-03-15 08:53 96,832 ----a-w C:\WINDOWS\system32\bxcsykxy.dll
2008-03-11 16:42 --------- d-----w C:\Program Files\MSN Toolbar
2008-03-10 17:42 --------- d-----w C:\Program Files\MSN Apps
2008-03-06 20:35 --------- d-----r C:\Documents and Settings\All Users\Application Data\SalesMon
2008-03-05 18:13 17,929,072 ----a-w C:\Install_Messenger.exe
2008-02-25 18:01 --------- d-----w C:\Program Files\Alwil Software
2008-02-23 13:31 --------- d-----w C:\Program Files\Orange
2008-02-23 13:30 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
2008-02-23 13:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-23 13:24 --------- d-----w C:\Program Files\Securitoo
2008-02-23 13:24 --------- d-----w C:\Program Files\SAGEM
2008-02-23 13:24 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\InstallShield
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="C:\Program Files\Steam\Steam.exe" [2008-03-30 18:50 1271032]
"AVSystemCare"="C:\Program Files\AVSystemCare\pgs.exe" [ ]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-06-14 17:05 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 07:49 16377344 C:\WINDOWS\RTHDCPL.exe]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 19:37 69216]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 21:08 94208]
"ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 20:10 102400]
"QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-02-25 21:04 385024]
"bm"="C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" [ ]
"ptask"="C:\Program Files\AVSystemCare\ptask.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-26 19:50 249896]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 15:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 14:04]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-17 22:49:57
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-17 22:50:13
ComboFix-quarantined-files.txt 2008-04-17 21:50:10
ComboFix2.txt 2008-04-17 21:09:27

Pre-Run: 31,658,340,352 octets libres
Post-Run: 31,661,129,728 octets libres

Réponse 17 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

on reprend
ComboFix avec CFScript :

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

file::

C:\WINDOWS\system32\xpalatne.ini
C:\WINDOWS\system32\emfkrwkh.ini
C:\WINDOWS\system32\crnfuthl.ini
C:\WINDOWS\system32\mxojhmch.ini
C:\WINDOWS\system32\odtkmyoh.ini
C:\WINDOWS\system32\hkgjxwwa.ini
C:\WINDOWS\system32\qbnpqhnm.ini

registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"bm"=-
"ptask"=-

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau )
* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
* Reactive ton Antivirus avant de te reconnecter...
* Poste aussi un nouveau rapport Hijackthis stp et dis moi si tu constates des améliorations ...

@+

Réponse 18 / 44

poisson01 Messages postés 27 Statut Membre

bonjour désolé pour hier j'étais crevé et je me suis endormi dans le fauteuil en attendant... Mais me voici, donc c'est la meme situation qu'avant j'ai bien fait glisser le doc texte et il ne me pose pas de choix c'est soit oui soit non et après combo lance l'analyse il a supprimé 5 ou 6 fichiers puis il a lancé les étapes voici le rapport. Donc on continu par messagerie personnelle? y a t il un lien : je ne peux plus envoyer de message par ma messagerie orange
voici le rapport de combo

ComboFix 08-04-16.5 - Administrateur 2008-04-18 12:43:11.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.1687 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\crnfuthl.ini
C:\WINDOWS\system32\emfkrwkh.ini
C:\WINDOWS\system32\hkgjxwwa.ini
C:\WINDOWS\system32\mxojhmch.ini
C:\WINDOWS\system32\odtkmyoh.ini
C:\WINDOWS\system32\qbnpqhnm.ini
C:\WINDOWS\system32\xpalatne.ini
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\crnfuthl.ini
C:\WINDOWS\system32\emfkrwkh.ini
C:\WINDOWS\system32\hkgjxwwa.ini
C:\WINDOWS\system32\mxojhmch.ini
C:\WINDOWS\system32\odtkmyoh.ini
C:\WINDOWS\system32\qbnpqhnm.ini
C:\WINDOWS\system32\xpalatne.ini

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-18 to 2008-04-18 ))))))))))))))))))))))))))))))))))))
.

2008-04-17 17:52 . 2008-04-17 22:15 <REP> d-------- C:\ccm.exe
2008-04-16 16:52 . 2008-04-16 16:52 <REP> d-------- C:\Program Files\MSN Messenger
2008-04-14 16:59 . 2008-04-17 18:03 <REP> d-------- C:\VundoFix Backups
2008-04-01 17:59 . 2008-04-01 17:59 10,752 --ahs---- C:\WINDOWS\Thumbs.db
2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Program Files\Avira
2008-03-26 19:45 . 2008-03-26 19:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-18 11:06 --------- d-----w C:\Program Files\Steam
2008-03-16 19:41 99,904 ----a-w C:\WINDOWS\system32\iffpmikh.dll
2008-03-16 19:36 95,296 ----a-w C:\WINDOWS\system32\umamaupj.dll
2008-03-16 19:20 99,904 ----a-w C:\WINDOWS\system32\jedeokrg.dll
2008-03-16 19:14 95,296 ----a-w C:\WINDOWS\system32\pfiifaor.dll
2008-03-15 09:02 98,368 ----a-w C:\WINDOWS\system32\pmbklebx.dll
2008-03-15 08:53 96,832 ----a-w C:\WINDOWS\system32\bxcsykxy.dll
2008-03-11 16:42 --------- d-----w C:\Program Files\MSN Toolbar
2008-03-10 17:42 --------- d-----w C:\Program Files\MSN Apps
2008-03-06 20:35 --------- d-----r C:\Documents and Settings\All Users\Application Data\SalesMon
2008-03-05 18:13 17,929,072 ----a-w C:\Install_Messenger.exe
2008-02-25 18:01 --------- d-----w C:\Program Files\Alwil Software
2008-02-23 13:31 --------- d-----w C:\Program Files\Orange
2008-02-23 13:30 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
2008-02-23 13:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-23 13:24 --------- d-----w C:\Program Files\Securitoo
2008-02-23 13:24 --------- d-----w C:\Program Files\SAGEM
2008-02-23 13:24 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\InstallShield
.

((((((((((((((((((((((((((((( snapshot@2008-04-17_22.09.17.35 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-17 21:08:12 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-18 11:06:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="C:\Program Files\Steam\Steam.exe" [2008-03-30 18:50 1271032]
"AVSystemCare"="C:\Program Files\AVSystemCare\pgs.exe" [ ]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-06-14 17:05 6856704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 07:49 16377344 C:\WINDOWS\RTHDCPL.exe]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 19:37 69216]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 21:08 94208]
"ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 20:10 102400]
"QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2008-02-25 21:04 385024]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-26 19:50 249896]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 15:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 14:04]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-18 12:43:50
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-18 12:44:08
ComboFix-quarantined-files.txt 2008-04-18 11:44:06
ComboFix2.txt 2008-04-17 21:50:14
ComboFix3.txt 2008-04-17 21:09:27

Pre-Run: 31,602,696,192 octets libres
Post-Run: 31,608,324,096 octets libres

Réponse 19 / 44

jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169

* Poste aussi un nouveau rapport Hijackthis stp et dis moi si tu constates des améliorations...

Ou est t-il ??

Donc on continu par messagerie personnelle? pourquoi ?
Tu réussi bien a te connecter ici ? On continue ici stp...

@+

poisson01

Bonjour
voici le rapport hijack, j'ai antivir qui m'a détécté un fois seulement le virus tr vundogen, sinon ca à l'air d'aller
a+

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:13, on 20/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\wuauclt.exe
C:\ccm.exe\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

Réponse 20 / 44

poisson01 Messages postés 27 Statut Membre

salut
voila le rapport hyjack, par contre je vais devoir partir et le retour se fera tard alors on verra demain mais envoie quand meme tes conclusions et je m'en occuperais à la première heure demain.

Merci et excuse pour les désagréments

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01, on 18/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Orange\browser\browser.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\ccm.exe\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

TR vundo gen

44 réponses

Votre réponse

Discussions similaires

Newsletters