Probleme avec un virus... HELP!!!!!!!!

Graydon1001 Messages postés 15 Statut Membre -  
 graydon1001 -
Bonjour,

Ca fait qques jours que je n'arrive pas a supprimer un trojan: TR/vundo.gen
J'ai antivir mais impossible de le supprimer et a chaque demarrage ca recommence.

J'en ai marre de ce P....... de virus

HELP PLEASE.....

28 réponses

  • 1
  • 2
  1. eZula Messages postés 3509 Statut Contributeur 392
     
    Bonjour,

    télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc_Beta.zip sur ton bureau

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    0
  2. Graydon1001 Messages postés 15 Statut Membre
     
    tout d'abord merci de ton aide

    j'ai fait ce que tu m'as dis voici le rapport:

    Rapport GenProc 1.48B [1] effectué le 26/04/2008 à 17:23:41,06 - Windows XP

    # Etape 1/ Télécharge :

    - CCleaner https://www.ccleaner.com/ccleaner/download
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

    - MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.

    ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "GeOfFrEy") *****

    # Etape 2/

    Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
    - Exécute l'option R.
    - Si l'infection est détectée, exécute l'option N.
    - Sauvegarde ce rapport sur ton bureau.

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste :
    - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
    - Le contenu du rapport MSNfix situé sur le Bureau ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  3. eZula Messages postés 3509 Statut Contributeur 392
     
    Commence par faire ce que propose GenProc
    0
  4. Graydon1001 Messages postés 15 Statut Membre
     
    encore merci

    Je te poste les rapports:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:58:58, on 26/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: (no name) - {30542485-6995-4C2A-8B5C-125D7D2FBD9D} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {53FE12C2-4429-488F-847B-7B285F8F6778} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {8693CC2F-5D85-4614-9348-8F382D5A97A1} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {DC734D65-F559-4F6A-BD59-DD2E45D48397} - (no file)
    O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker\RunApp.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O20 - Winlogon Notify: !SASWinLogon - c:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O21 - SSODL: vadokmxt - {C742294E-F80D-4C1D-AC15-0D49A7AFBF9C} - (no file)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. eZula Messages postés 3509 Statut Contributeur 392
     
    Tu dis que tu n'arrives pas à supprimer ce trojan, peux-tu préciser son chemin ? un chemin , par exemple, c'est C:\windows\salebête.exe
    0
  7. Graydon1001 Messages postés 15 Statut Membre
     
    en fait a chaque demarrage antivir detecte plusieurs fichiers type TR/vundo.gen qui se trouvent dans D:\windows\system32 sous forme de .dll, des noms bizarres a chaque fois exemple dvjjju mais change de noms parfois
    Je les supprime mais il reviennent quand meme...

    en esperant que tu puisse m'aider

    merci
    0
  8. eZula Messages postés 3509 Statut Contributeur 392
     
    Dans ce cas, voyons voir plus précisément :

    # Etape 1/ Télécharge :

    - VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

    - combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

    ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "GeOfFrEy"") *****

    # Etape 2/

    * Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
    Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

    * Double clique combofix.exe.
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste :
    - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
    - Le contenu du rapport situé dans C:\vundofix.txt ;
    - Le contenu du rapport situé dans C:\Combofix.txt ;
    - Le contenu du rapport situé dans GenPro\cArguments\Argument.txt.

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  9. graydon1001
     
    desole d'etre si tard mais je pense que j'ai un probleme de connexion

    je te poste les rapports

    ComboFix 08-04-24.1 - GeOfFrEy 2008-04-26 19:07:50.2 - NTFSx86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1282 [GMT 2:00]
    Endroit: D:\Documents and Settings\GeOfFrEy\Bureau\ComboFix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    D:\WINDOWS\system32\w32apiw.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-03-26 to 2008-04-26 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-26 02:34 . 2001-08-28 14:00 3,374,512 --a--c--- D:\WINDOWS\system32\dllcache\tourW.exe
    2008-04-26 02:30 . 2008-04-26 02:30 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\nCleaner
    2008-04-26 02:25 . 2008-04-26 02:28 <REP> d-------- D:\Program Files\Windows Live Safety Center
    2008-04-26 00:50 . 2008-04-26 00:50 16 --a------ D:\WINDOWS\system32\f0135044
    2008-04-25 04:28 . 2008-04-25 04:28 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\TuneUp Software
    2008-04-25 03:33 . 2008-04-25 04:41 1,544 --a------ D:\WINDOWS\system32\tmp.reg
    2008-04-25 03:33 . 2008-04-25 04:41 0 --a------ D:\WINDOWS\system32\tmp.MSNFix
    2008-04-25 03:32 . 2007-09-06 00:22 289,144 --a------ D:\WINDOWS\system32\VCCLSID.exe
    2008-04-25 03:32 . 2006-04-27 17:49 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe
    2008-04-25 03:32 . 2008-04-24 08:10 86,528 --a------ D:\WINDOWS\system32\VACFix.exe
    2008-04-25 03:32 . 2008-04-23 22:14 82,944 --a------ D:\WINDOWS\system32\IEDFix.exe
    2008-04-25 03:32 . 2008-04-23 22:14 82,944 --a------ D:\WINDOWS\system32\404Fix.exe
    2008-04-25 03:32 . 2003-06-05 21:13 53,248 --a------ D:\WINDOWS\system32\Process.exe
    2008-04-25 03:32 . 2004-07-31 18:50 51,200 --a------ D:\WINDOWS\system32\dumphive.exe
    2008-04-25 03:32 . 2007-10-04 00:36 25,600 --a------ D:\WINDOWS\system32\WS2Fix.exe
    2008-04-25 03:15 . 2008-04-25 03:15 <REP> d-------- D:\VundoFix Backups
    2008-04-23 23:43 . 2008-04-23 23:46 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-04-23 23:22 . 2008-04-23 21:04 217,088 --a------ D:\WINDOWS\qnmargolgnm.dll
    2008-04-23 23:22 . 2008-04-23 21:04 212,992 --a------ D:\WINDOWS\wdpoefan.dll
    2008-04-23 23:22 . 2008-04-23 21:04 151,552 --a------ D:\WINDOWS\dpevflbg.dll
    2008-04-23 19:56 . 2008-04-23 19:04 691,545 --a------ D:\WINDOWS\unins000.exe
    2008-04-23 19:56 . 2008-04-23 19:56 2,558 --a------ D:\WINDOWS\unins000.dat
    2008-04-23 19:37 . 2008-04-23 19:37 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\SUPERAntiSpyware.com
    2008-04-23 19:37 . 2008-04-23 19:37 <REP> d-------- D:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
    2008-04-23 19:36 . 2008-04-23 23:41 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-04-12 01:23 . 2008-04-12 01:23 <REP> d-------- D:\WINDOWS\system32\FlashAX
    2008-04-12 01:06 . 2008-04-12 01:06 59 --a------ D:\WINDOWS\pp.enc
    2008-04-12 01:01 . 2008-04-12 01:31 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\Microgaming
    2008-04-11 19:42 . 2008-04-17 00:38 248 --a------ D:\WINDOWS\system32\systemdrv32.aso
    2008-04-11 19:37 . 2008-04-11 19:37 <REP> d-------- D:\Program Files\_uninstallation_info
    2008-04-11 07:43 . 2008-04-11 07:44 <REP> d-------- D:\Program Files\UpperClassPoker
    2008-04-11 07:18 . 2008-04-11 23:10 <REP> d-------- D:\Program Files\MansionPoker
    2008-04-11 07:06 . 2008-04-12 00:29 <REP> d-------- D:\Poker
    2008-04-06 21:22 . 2008-04-06 21:22 <REP> d-------- D:\Documents and Settings\All Users\Application Data\T6

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-25 23:51 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-04-15 12:12 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\OpenOffice.org2
    2008-04-06 20:36 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\Azureus
    2008-03-30 20:09 --------- d--h--w D:\Program Files\InstallShield Installation Information
    2008-03-20 08:09 1,845,376 ----a-w D:\WINDOWS\system32\win32k.sys
    2008-03-12 19:52 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\TVU networks
    2008-03-12 19:52 --------- d-----w D:\Documents and Settings\All Users\Application Data\TVU networks
    2008-03-02 22:24 --------- d-----w D:\Program Files\MSN Messenger
    2008-03-02 22:20 --------- dcsh--w D:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-03-02 22:20 --------- d-----w D:\Program Files\Windows Live
    2008-03-02 22:20 --------- d-----w D:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-02-20 06:51 282,624 ----a-w D:\WINDOWS\system32\gdi32.dll
    2008-02-20 05:35 45,568 ----a-w D:\WINDOWS\system32\dnsrslvr.dll
    2007-11-09 21:02 47,360 ----a-w D:\Documents and Settings\GeOfFrEy\Application Data\pcouffin.sys
    2007-07-10 16:32 14 -c--a-w D:\Documents and Settings\GeOfFrEy\getfile.dat
    2007-07-10 17:04 120,096 -csha-w D:\WINDOWS\fidbox.dat
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 23:17 262401]
    "Cmaudio"="cmicnfg.cpl" []

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMBalloonTip"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    c:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 c:\Program Files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    --a------ 2004-08-20 01:09 15360 D:\WINDOWS\System32\CTFMON.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2007-04-27 09:41 282624 c:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
    --a------ 2007-04-16 15:28 577536 D:\WINDOWS\SOUNDMAN.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    -rahs---- 2008-01-28 11:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "Ati HotKey Poller"=2 (0x2)
    "aswUpdSv"=2 (0x2)
    "usnjsvc"=3 (0x3)
    "a2free"=2 (0x2)
    "WLSetupSvc"=3 (0x3)
    "aawservice"=2 (0x2)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    R0 avgntmgr;avgntmgr;D:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-16 23:17]
    R0 videX32;videX32;D:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 11:36]
    R1 avgntdd;avgntdd;D:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 23:17]
    S2 UxTuneUp;Extension de conception TuneUp;D:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
    S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 01:00]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    *Newly Created Service* - CATCHME
    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-26 19:09:04
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\EverestDriver]
    "ImagePath"="\??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt"
    .
    Temps d'accomplissement: 2008-04-26 19:10:52
    ComboFix-quarantined-files.txt 2008-04-26 17:10:46

    Pre-Run: 1,386,950,656 octets libres
    Post-Run: 1,375,182,848 octets libres

    128 --- E O F --- 2008-04-10 17:20:49

    VUNDOFIX

    VundoFix V7.0.3

    Scan started at 18:50:29 26/04/2008

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...

    HIJACKTHIS

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:20:00, on 26/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker\RunApp.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
    O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O20 - Winlogon Notify: !SASWinLogon - c:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O21 - SSODL: vadokmxt - {C742294E-F80D-4C1D-AC15-0D49A7AFBF9C} - (no file)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    0
  10. eZula Messages postés 3509 Statut Contributeur 392
     
    Vas sur ce site https://www.virustotal.com/gui/
    Colle dans la case à gauche de "parcourir" :
    D:\WINDOWS\qnmargolgnm.dll
    clique ensuite sur "send". Il faut patienter car tu es sur une file d'attente.
    Le rapport ne sera complet que lorsque tu verras la mention [b]"FINISHED"[/b] sur la droite. Dépose le dans ta réponse.
    Recommence avec ces chemins :
    D:\WINDOWS\wdpoefan.dll
    D:\WINDOWS\dpevflbg.dll
    0
  11. Graydon1001 Messages postés 15 Statut Membre
     
    voici les resultats

    D:\WINDOWS\qnmargolgnm.dll

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.4.25.2 2008.04.25 -
    AntiVir 7.8.0.10 2008.04.25 ADSPY/Vapsup.egm
    Authentium 4.93.8 2008.04.26 -
    Avast 4.8.1169.0 2008.04.25 Win32:Vapsup-EB
    AVG 7.5.0.516 2008.04.26 Generic10.PSB
    BitDefender 7.2 2008.04.26 -
    CAT-QuickHeal 9.50 2008.04.26 -
    ClamAV 0.92.1 2008.04.26 -
    DrWeb 4.44.0.09170 2008.04.26 -
    eSafe 7.0.15.0 2008.04.21 -
    eTrust-Vet 31.3.5736 2008.04.26 -
    Ewido 4.0 2008.04.26 -
    F-Prot 4.4.2.54 2008.04.26 W32/Adware-RegBHO-based.1!Maximus
    F-Secure 6.70.13260.0 2008.04.26 Trojan.Win32.Vapsup.eho
    FileAdvisor 1 2008.04.26 -
    Fortinet 3.14.0.0 2008.04.26 W32/Emogen.AC!tr
    Ikarus T3.1.1.26 2008.04.26 Trojan.BHO.Agent.221184
    Kaspersky 7.0.0.125 2008.04.26 Trojan.Win32.Vapsup.eho
    McAfee 5282 2008.04.25 -
    Microsoft 1.3408 2008.04.22 Trojan:Win32/Zlob.ZWY
    NOD32v2 3057 2008.04.26 -
    Norman 5.80.02 2008.04.25 -
    Panda 9.0.0.4 2008.04.26 -
    Prevx1 V2 2008.04.26 KAVKOP:Payload-A
    Rising 20.41.52.00 2008.04.26 Trojan.Clicker.Win32.Agent.ypq
    Sophos 4.28.0 2008.04.26 Mal/Emogen-AC
    Sunbelt 3.0.1056.0 2008.04.17 -
    Symantec 10 2008.04.26 Downloader.Zlob!gen.2
    TheHacker 6.2.92.293 2008.04.26 Trojan/Vapsup.eho
    VBA32 3.12.6.5 2008.04.26 Trojan.Win32.Vapsup.eho
    VirusBuster 4.3.26:9 2008.04.26 -
    Webwasher-Gateway 6.6.2 2008.04.26 Ad-Spyware.Vapsup.egm
    Information additionnelle
    File size: 217088 bytes
    MD5...: 8a09ef15ea23820b6c72280e1acf1367
    SHA1..: b9985be2c2a5c52404220fc64cf85949ad3e8704
    SHA256: 946c8dcbeef6b458d23ce23b5501dfc589298183c3910325044ef3fa0271aaa7
    SHA512: 035ff8f403095800903a6468608f3a4c4fac302723b1d809b358f7fba3e7a28a
    9a93cf2de5bea3612a30195ca0ef033baf7709e11d42610fdcdca184af1df84b
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x10011f3c
    timedatestamp.....: 0x480f7e70 (Wed Apr 23 18:22:40 2008)
    machinetype.......: 0x14c (I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x2303b 0x24000 6.55 0fdd6158f9e76689f42fd6825239f978
    .rdata 0x25000 0x97c3 0xa000 4.87 085b82e26a5c42785cade3d7568c7dc1
    .data 0x2f000 0x397c 0x2000 3.89 32e293ba8f8e6edce79bd3f1a0967a56
    .rsrc 0x33000 0xb60 0x1000 3.49 856b38df835f2162559c17a32b25b263
    .reloc 0x34000 0x2c9c 0x3000 4.81 90c6d699ed19fff3c2ade3e9188405de

    ( 6 imports )
    > KERNEL32.dll: CreateFileW, SetFilePointer, WriteFile, InterlockedIncrement, InterlockedDecrement, FreeLibrary, lstrcmpiW, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, Sleep, RaiseException, GetLastError, EnterCriticalSection, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, GetProcAddress, LoadLibraryW, CreateFileA, SetEndOfFile, CreateThread, CloseHandle, ResetEvent, WaitForSingleObject, OpenEventW, LocalAlloc, lstrlenW, FormatMessageW, GetModuleFileNameW, LocalFree, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, ReadFile, FlushFileBuffers, SetStdHandle, GetStringTypeW, GetStringTypeA, LoadLibraryA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapReAlloc, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetModuleHandleA, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, RtlUnwind, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP, GetConsoleMode
    > USER32.dll: UnregisterClassA, MessageBoxW, CharNextW
    > ADVAPI32.dll: RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteKeyW, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, RegEnumKeyExW, RegQueryValueExW
    > ole32.dll: CoTaskMemRealloc, CoTaskMemAlloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree
    > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
    > SHLWAPI.dll: StrToIntW

    ( 4 exports )
    DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

    D:\WINDOWS\wdpoefan.dll

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.4.25.2 2008.04.25 -
    AntiVir 7.8.0.10 2008.04.25 ADSPY/Agent.PB
    Authentium 4.93.8 2008.04.26 -
    Avast 4.8.1169.0 2008.04.26 Win32:Agent-LTS
    AVG 7.5.0.516 2008.04.26 BHO.DSF
    BitDefender 7.2 2008.04.26 -
    CAT-QuickHeal 9.50 2008.04.26 Trojan.Vapsup.eho
    ClamAV 0.92.1 2008.04.26 -
    DrWeb 4.44.0.09170 2008.04.26 -
    eSafe 7.0.15.0 2008.04.21 -
    eTrust-Vet 31.3.5736 2008.04.26 Win32/Pripecs!generic
    Ewido 4.0 2008.04.26 -
    F-Prot 4.4.2.54 2008.04.26 -
    F-Secure 6.70.13260.0 2008.04.26 Trojan.Win32.Vapsup.eho
    FileAdvisor 1 2008.04.26 -
    Fortinet 3.14.0.0 2008.04.26 W32/Vapsup.EHO!tr
    Ikarus T3.1.1.26 2008.04.26 AdWare.Agent.PB
    Kaspersky 7.0.0.125 2008.04.26 Trojan.Win32.Vapsup.eho
    McAfee 5282 2008.04.25 -
    Microsoft 1.3408 2008.04.22 Trojan:Win32/Zlob.AI
    NOD32v2 3057 2008.04.26 -
    Norman 5.80.02 2008.04.25 -
    Panda 9.0.0.4 2008.04.26 -
    Prevx1 V2 2008.04.26 Generic.Malware
    Rising 20.41.52.00 2008.04.26 Trojan.Win32.Zlob.ajl
    Sophos 4.28.0 2008.04.26 -
    Sunbelt 3.0.1056.0 2008.04.17 -
    Symantec 10 2008.04.26 Downloader.Zlob!gen.2
    TheHacker 6.2.92.293 2008.04.26 Trojan/Vapsup.ehp
    VBA32 3.12.6.5 2008.04.26 Trojan.Win32.Vapsup.eho
    VirusBuster 4.3.26:9 2008.04.26 -
    Webwasher-Gateway 6.6.2 2008.04.26 Ad-Spyware.Agent.PB
    Information additionnelle
    File size: 212992 bytes
    MD5...: fac3fb92ec11a6422ea5b63554ff3fcf
    SHA1..: 122860bc5478b580dd26f6b9e549b59224ef8cf6
    SHA256: a04987bf51e094d815d48f91273778042caf48c401a56e6bd0d7f7db64616e59
    SHA512: 7656df1792114902b1b8afd285839681a9a7bfb9f94fda601b2d47583d4b5831
    ce3e04021f74bc70945ae81e9dfe257eb81cafeb82fcc16eb9eca035024ce612
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x100157ea
    timedatestamp.....: 0x480f7982 (Wed Apr 23 18:01:38 2008)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x27ea4 0x28000 6.56 629e33d82beed6f73dfc35894cda7aae
    .data 0x29000 0x3160 0x2000 2.42 9627d1f7e0a07bcb51e9338139500701
    .rsrc 0x2d000 0x51e0 0x6000 4.10 100afe8539d6c68ae8dc66e37056ff76
    .reloc 0x33000 0x233e 0x3000 3.87 e008c69811df6cb6e8e4c3ad27172172

    ( 4 imports )
    > KERNEL32.dll: CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, CloseHandle, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, WriteFile, CreateFileW, lstrcpynW, GetSystemTime, GetLocaleInfoA, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, HeapSize, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, CreateFileA
    > USER32.dll: GetDesktopWindow, GetWindow, MessageBoxW
    > ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW
    > ole32.dll: CoInitialize

    ( 0 exports )

    D:\WINDOWS\dpevflbg.dll

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 - - -
    AntiVir - - ADSPY/AdSpy.Gen
    Authentium - - -
    Avast - - Win32:Vapsup-CS
    AVG - - Downloader.Zlob.SE
    BitDefender - - -
    CAT-QuickHeal - - -
    ClamAV - - -
    DrWeb - - -
    eSafe - - -
    eTrust-Vet - - -
    Ewido - - -
    F-Prot - - -
    F-Secure - - -
    FileAdvisor - - -
    Fortinet - - -
    Ikarus - - AdWare.AdSpy
    Kaspersky - - -
    McAfee - - -
    Microsoft - - -
    NOD32v2 - - -
    Norman - - -
    Panda - - -
    Prevx1 - - KAVKOP:Trojan-A
    Rising - - -
    Sophos - - -
    Sunbelt - - -
    Symantec - - -
    TheHacker - - -
    VBA32 - - -
    VirusBuster - - -
    Webwasher-Gateway - - Ad-Spyware.AdSpy.Gen
    Information additionnelle
    MD5: fac2f277ac9bdf751e38dbba16810a3f
    SHA1: 305fe797d76875c0e5035e50f03e7b9a0075de1c
    SHA256: 0755e7a5c755374e36edf81d4c57d028b50c8b9424021de64cf5d653ec16456c
    0
  12. eZula Messages postés 3509 Statut Contributeur 392
     
    ok, ça n'est pas très recommandable tout ça. Télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
    * double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le
    0
  13. Graydon1001 Messages postés 15 Statut Membre
     
    voici le rapport

    SmitFraudFix v2.319

    Rapport fait à 20:00:03,32, 26/04/2008
    Executé à partir de D:\Documents and Settings\GeOfFrEy\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    D:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    D:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» D:\

    »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\GeOfFrEy

    »»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\GeOfFrEy\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\GeOfFrEy\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{B05BF3A4-4977-4E14-97E0-35F6955D0C19}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{B05BF3A4-4977-4E14-97E0-35F6955D0C19}: DhcpNameServer=10.0.0.138
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{B05BF3A4-4977-4E14-97E0-35F6955D0C19}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{B05BF3A4-4977-4E14-97E0-35F6955D0C19}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  14. eZula Messages postés 3509 Statut Contributeur 392
     
    1. Vas sur ce site http://siri.urz.free.fr/upload
    "Lien vers le message du forum où le fichier a été demandé:" colle l'adresse de cette page
    "Fichier:" -> colle ce chemin en gras D:\WINDOWS\qnmargolgnm.dll et clique sur "upload"
    recommence avec :
    D:\WINDOWS\wdpoefan.dll
    D:\WINDOWS\dpevflbg.dll

    2. Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les 4 lignes suivantes :

    File::
    D:\WINDOWS\wdpoefan.dll
    D:\WINDOWS\qnmargolgnm.dll
    D:\WINDOWS\dpevflbg.dll


    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

    ]http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    [*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) ,[b] tape 1/b puis valide.
    [*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    [*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  15. Graydon1001 Messages postés 15 Statut Membre
     
    voici le rapport

    Tu crois que je vais m'en sortir ou c vraiment la merde???

    en tout cas merci a toi quand meme

    ComboFix 08-04-24.1 - GeOfFrEy 2008-04-26 20:27:32.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1123 [GMT 2:00]
    Endroit: D:\Documents and Settings\GeOfFrEy\Bureau\ComboFix.exe
    Command switches used :: D:\Documents and Settings\GeOfFrEy\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    D:\WINDOWS\dpevflbg.dll
    D:\WINDOWS\qnmargolgnm.dll
    D:\WINDOWS\wdpoefan.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    D:\WINDOWS\dpevflbg.dll
    D:\WINDOWS\qnmargolgnm.dll
    D:\WINDOWS\wdpoefan.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-03-26 to 2008-04-26 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-26 02:34 . 2001-08-28 14:00 3,374,512 --a--c--- D:\WINDOWS\system32\dllcache\tourW.exe
    2008-04-26 02:30 . 2008-04-26 02:30 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\nCleaner
    2008-04-26 02:25 . 2008-04-26 02:28 <REP> d-------- D:\Program Files\Windows Live Safety Center
    2008-04-26 00:50 . 2008-04-26 00:50 16 --a------ D:\WINDOWS\system32\f0135044
    2008-04-25 04:28 . 2008-04-25 04:28 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\TuneUp Software
    2008-04-25 03:33 . 2008-04-26 20:00 1,394 --a------ D:\WINDOWS\system32\tmp.reg
    2008-04-25 03:33 . 2008-04-25 04:41 0 --a------ D:\WINDOWS\system32\tmp.MSNFix
    2008-04-25 03:32 . 2007-09-06 00:22 289,144 --a------ D:\WINDOWS\system32\VCCLSID.exe
    2008-04-25 03:32 . 2006-04-27 17:49 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe
    2008-04-25 03:32 . 2008-04-24 08:10 86,528 --a------ D:\WINDOWS\system32\VACFix.exe
    2008-04-25 03:32 . 2008-04-23 22:14 82,944 --a------ D:\WINDOWS\system32\IEDFix.exe
    2008-04-25 03:32 . 2008-04-23 22:14 82,944 --a------ D:\WINDOWS\system32\404Fix.exe
    2008-04-25 03:32 . 2003-06-05 21:13 53,248 --a------ D:\WINDOWS\system32\Process.exe
    2008-04-25 03:32 . 2004-07-31 18:50 51,200 --a------ D:\WINDOWS\system32\dumphive.exe
    2008-04-25 03:32 . 2007-10-04 00:36 25,600 --a------ D:\WINDOWS\system32\WS2Fix.exe
    2008-04-25 03:15 . 2008-04-25 03:15 <REP> d-------- D:\VundoFix Backups
    2008-04-23 23:43 . 2008-04-23 23:46 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-04-23 19:56 . 2008-04-23 19:04 691,545 --a------ D:\WINDOWS\unins000.exe
    2008-04-23 19:56 . 2008-04-23 19:56 2,558 --a------ D:\WINDOWS\unins000.dat
    2008-04-23 19:37 . 2008-04-23 19:37 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\SUPERAntiSpyware.com
    2008-04-23 19:37 . 2008-04-23 19:37 <REP> d-------- D:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
    2008-04-23 19:36 . 2008-04-23 23:41 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-04-12 01:23 . 2008-04-12 01:23 <REP> d-------- D:\WINDOWS\system32\FlashAX
    2008-04-12 01:06 . 2008-04-12 01:06 59 --a------ D:\WINDOWS\pp.enc
    2008-04-12 01:01 . 2008-04-12 01:31 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\Microgaming
    2008-04-11 19:42 . 2008-04-17 00:38 248 --a------ D:\WINDOWS\system32\systemdrv32.aso
    2008-04-11 19:37 . 2008-04-11 19:37 <REP> d-------- D:\Program Files\_uninstallation_info
    2008-04-11 07:43 . 2008-04-11 07:44 <REP> d-------- D:\Program Files\UpperClassPoker
    2008-04-11 07:18 . 2008-04-26 19:31 <REP> d-------- D:\Program Files\MansionPoker
    2008-04-11 07:06 . 2008-04-12 00:29 <REP> d-------- D:\Poker
    2008-04-06 21:22 . 2008-04-06 21:22 <REP> d-------- D:\Documents and Settings\All Users\Application Data\T6

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-26 17:31 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\Azureus
    2008-04-25 23:51 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-04-15 12:12 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\OpenOffice.org2
    2008-03-30 20:09 --------- d--h--w D:\Program Files\InstallShield Installation Information
    2008-03-20 08:09 1,845,376 ----a-w D:\WINDOWS\system32\win32k.sys
    2008-03-12 19:52 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\TVU networks
    2008-03-12 19:52 --------- d-----w D:\Documents and Settings\All Users\Application Data\TVU networks
    2008-03-02 22:24 --------- d-----w D:\Program Files\MSN Messenger
    2008-03-02 22:20 --------- dcsh--w D:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-03-02 22:20 --------- d-----w D:\Program Files\Windows Live
    2008-03-02 22:20 --------- d-----w D:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-02-20 06:51 282,624 ----a-w D:\WINDOWS\system32\gdi32.dll
    2008-02-20 05:35 45,568 ----a-w D:\WINDOWS\system32\dnsrslvr.dll
    2007-11-09 21:02 47,360 ----a-w D:\Documents and Settings\GeOfFrEy\Application Data\pcouffin.sys
    2007-07-10 16:32 14 -c--a-w D:\Documents and Settings\GeOfFrEy\getfile.dat
    2007-07-10 17:04 120,096 -csha-w D:\WINDOWS\fidbox.dat
    .

    ((((((((((((((((((((((((((((( snapshot@2008-04-26_19.10.36,26 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-04-26 16:48:07 2,048 --s-a-w D:\WINDOWS\bootstat.dat
    + 2008-04-26 17:14:00 2,048 --s-a-w D:\WINDOWS\bootstat.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 23:17 262401]
    "Cmaudio"="cmicnfg.cpl" []

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMBalloonTip"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    c:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 c:\Program Files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    --a------ 2004-08-20 01:09 15360 D:\WINDOWS\System32\CTFMON.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2007-04-27 09:41 282624 c:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
    --a------ 2007-04-16 15:28 577536 D:\WINDOWS\SOUNDMAN.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
    -rahs---- 2008-01-28 11:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "Ati HotKey Poller"=2 (0x2)
    "aswUpdSv"=2 (0x2)
    "usnjsvc"=3 (0x3)
    "a2free"=2 (0x2)
    "WLSetupSvc"=3 (0x3)
    "aawservice"=2 (0x2)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    R0 avgntmgr;avgntmgr;D:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-16 23:17]
    R0 videX32;videX32;D:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 11:36]
    R1 avgntdd;avgntdd;D:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 23:17]
    R2 UxTuneUp;Extension de conception TuneUp;D:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
    S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 01:00]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-26 20:28:48
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\EverestDriver]
    "ImagePath"="\??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt"
    .
    Temps d'accomplissement: 2008-04-26 20:31:38
    ComboFix-quarantined-files.txt 2008-04-26 18:30:35

    Pre-Run: 1,350,176,768 octets libres
    Post-Run: 1,338,781,696 octets libres

    135 --- E O F --- 2008-04-10 17:20:49
    0
  16. eZula Messages postés 3509 Statut Contributeur 392
     
    On va bien voir, mais en général, vundo c'est bien chiant.
    Est-ce que tu pourrais me donner précisément quelques noms de fichiers que tu verrais dans le dossier D:\WINDOWS\system32\f0135044 ?

    sinon ce programme "Absolute Poker", c'est toi qui l'as installé ?
    0
  17. Graydon1001 Messages postés 15 Statut Membre
     
    absolute poker c moi qui l'ai installe, c'est un logiciel de poker et il marche bien mais s'il faut je l'enleve

    sinon dans le dossier que tu me dis c un fichier de 1ko mais je ne sais pas l'ouvrir il n'y a pas de programme associe...

    que faire??
    0
  18. eZula Messages postés 3509 Statut Contributeur 392
     
    le programme de poker, je ne sai spas ce que c'est mais bon ça n'inspire pas toujours confiance.

    Attention, je te demande juste le nom des fichiers, si tu préfères, fais comme ceci :

    Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document texte". Ouvre-le et copie-colle dedans ces 3 lignes en gras :

    dir /s D:\WINDOWS\system32\f0135044 > list.txt
    notepad list.txt
    del list.txt


    Dans le menu "fichier"/"enregistrer sous", sélectionne :
    "Nom du fichier" : list.bat
    "Type" : "tous les fichiers"
    Clique ensuite sur "enregistrer".

    double-clique dessus, le bloc-notes s'ouvre au bout de quelques instants. Copie et poste son contenu.
    0
  19. Graydon1001 Messages postés 15 Statut Membre
     
    voila le contenu

    Le volume dans le lecteur D n'a pas de nom.
    Le num‚ro de s‚rie du volume est E46F-66FC

    R‚pertoire de D:\WINDOWS\system32

    26/04/2008 00:50 16 f0135044
    1 fichier(s) 16 octets

    Total des fichiers list‚sÿ:
    1 fichier(s) 16 octets
    0 R‚p(s) 1ÿ349ÿ758ÿ976 octets libres
    0
  20. eZula Messages postés 3509 Statut Contributeur 392
     
    et si tu fais scanner ce fichier sur virustotal, ça donne quoi ?
    0
  21. Graydon1001 Messages postés 15 Statut Membre
     
    excuse moi je n'avais pas vu le dernier message je le fais de suite je te dis koi
    0
  • 1
  • 2