Probleme avec un virus... HELP!!!!!!!!

Question

Bonjour,

Ca fait qques jours que je n'arrive pas a supprimer un trojan: TR/vundo.gen
J'ai antivir mais impossible de le supprimer et a chaque demarrage ca recommence.

J'en ai marre de ce P....... de virus

HELP PLEASE.....

eZula · Answer

Bonjour,

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc_Beta.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

Graydon1001 · Answer

tout d'abord merci de ton aide

j'ai fait ce que tu m'as dis voici le rapport:

Rapport GenProc  1.48B [1] effectué le 26/04/2008 à 17:23:41,06 - Windows XP   

# Etape 1/ Télécharge :  
  
- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme. 
 
- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau. 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "GeOfFrEy") ***** 
 
 
# Etape 2/ 
 
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau. 
 
# Etape 3/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 4/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ; 
- Le contenu du rapport MSNfix situé sur le Bureau ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

eZula · Answer

Commence par faire ce que propose GenProc

Graydon1001 · Answer

encore merci

Je te poste les rapports:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:58, on 26/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: (no name) - {30542485-6995-4C2A-8B5C-125D7D2FBD9D} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {53FE12C2-4429-488F-847B-7B285F8F6778} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {8693CC2F-5D85-4614-9348-8F382D5A97A1} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DC734D65-F559-4F6A-BD59-DD2E45D48397} - (no file)
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O20 - Winlogon Notify: !SASWinLogon - c:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: vadokmxt - {C742294E-F80D-4C1D-AC15-0D49A7AFBF9C} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

eZula · Answer

Tu dis que tu n'arrives pas à supprimer ce trojan, peux-tu préciser son chemin ? un chemin , par exemple, c'est C:\windows\salebête.exe

Graydon1001 · Answer

en fait a chaque demarrage antivir detecte plusieurs fichiers type TR/vundo.gen qui se trouvent dans D:\windows\system32 sous forme de .dll, des noms bizarres a chaque fois exemple dvjjju mais change de noms parfois
Je les supprime mais il reviennent quand meme...

en esperant que tu puisse m'aider

merci

eZula · Answer

Dans ce cas, voyons voir plus précisément :


# Etape 1/ Télécharge :

- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau


***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "GeOfFrEy"") *****


# Etape 2/

* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

* Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le contenu du rapport situé dans GenPro\cArguments\Argument.txt.


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

graydon1001 · Answer

desole d'etre si tard mais je pense que j'ai un probleme de connexion

je te poste les rapports

ComboFix 08-04-24.1 - GeOfFrEy 2008-04-26 19:07:50.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1282 [GMT 2:00]
Endroit: D:\Documents and Settings\GeOfFrEy\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS\system32\w32apiw.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-26 to 2008-04-26 ))))))))))))))))))))))))))))))))))))
.

2008-04-26 02:34 . 2001-08-28 14:00 3,374,512 --a--c--- D:\WINDOWS\system32\dllcache\tourW.exe
2008-04-26 02:30 . 2008-04-26 02:30 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\nCleaner
2008-04-26 02:25 . 2008-04-26 02:28 <REP> d-------- D:\Program Files\Windows Live Safety Center
2008-04-26 00:50 . 2008-04-26 00:50 16 --a------ D:\WINDOWS\system32\f0135044
2008-04-25 04:28 . 2008-04-25 04:28 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\TuneUp Software
2008-04-25 03:33 . 2008-04-25 04:41 1,544 --a------ D:\WINDOWS\system32\tmp.reg
2008-04-25 03:33 . 2008-04-25 04:41 0 --a------ D:\WINDOWS\system32\tmp.MSNFix
2008-04-25 03:32 . 2007-09-06 00:22 289,144 --a------ D:\WINDOWS\system32\VCCLSID.exe
2008-04-25 03:32 . 2006-04-27 17:49 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe
2008-04-25 03:32 . 2008-04-24 08:10 86,528 --a------ D:\WINDOWS\system32\VACFix.exe
2008-04-25 03:32 . 2008-04-23 22:14 82,944 --a------ D:\WINDOWS\system32\IEDFix.exe
2008-04-25 03:32 . 2008-04-23 22:14 82,944 --a------ D:\WINDOWS\system32\404Fix.exe
2008-04-25 03:32 . 2003-06-05 21:13 53,248 --a------ D:\WINDOWS\system32\Process.exe
2008-04-25 03:32 . 2004-07-31 18:50 51,200 --a------ D:\WINDOWS\system32\dumphive.exe
2008-04-25 03:32 . 2007-10-04 00:36 25,600 --a------ D:\WINDOWS\system32\WS2Fix.exe
2008-04-25 03:15 . 2008-04-25 03:15 <REP> d-------- D:\VundoFix Backups
2008-04-23 23:43 . 2008-04-23 23:46 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-23 23:22 . 2008-04-23 21:04 217,088 --a------ D:\WINDOWS\qnmargolgnm.dll
2008-04-23 23:22 . 2008-04-23 21:04 212,992 --a------ D:\WINDOWS\wdpoefan.dll
2008-04-23 23:22 . 2008-04-23 21:04 151,552 --a------ D:\WINDOWS\dpevflbg.dll
2008-04-23 19:56 . 2008-04-23 19:04 691,545 --a------ D:\WINDOWS\unins000.exe
2008-04-23 19:56 . 2008-04-23 19:56 2,558 --a------ D:\WINDOWS\unins000.dat
2008-04-23 19:37 . 2008-04-23 19:37 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\SUPERAntiSpyware.com
2008-04-23 19:37 . 2008-04-23 19:37 <REP> d-------- D:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-04-23 19:36 . 2008-04-23 23:41 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard
2008-04-12 01:23 . 2008-04-12 01:23 <REP> d-------- D:\WINDOWS\system32\FlashAX
2008-04-12 01:06 . 2008-04-12 01:06 59 --a------ D:\WINDOWS\pp.enc
2008-04-12 01:01 . 2008-04-12 01:31 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\Microgaming
2008-04-11 19:42 . 2008-04-17 00:38 248 --a------ D:\WINDOWS\system32\systemdrv32.aso
2008-04-11 19:37 . 2008-04-11 19:37 <REP> d-------- D:\Program Files\_uninstallation_info
2008-04-11 07:43 . 2008-04-11 07:44 <REP> d-------- D:\Program Files\UpperClassPoker
2008-04-11 07:18 . 2008-04-11 23:10 <REP> d-------- D:\Program Files\MansionPoker
2008-04-11 07:06 . 2008-04-12 00:29 <REP> d-------- D:\Poker
2008-04-06 21:22 . 2008-04-06 21:22 <REP> d-------- D:\Documents and Settings\All Users\Application Data\T6

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-25 23:51 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-15 12:12 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\OpenOffice.org2
2008-04-06 20:36 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\Azureus
2008-03-30 20:09 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-03-20 08:09 1,845,376 ----a-w D:\WINDOWS\system32\win32k.sys
2008-03-12 19:52 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\TVU networks
2008-03-12 19:52 --------- d-----w D:\Documents and Settings\All Users\Application Data\TVU networks
2008-03-02 22:24 --------- d-----w D:\Program Files\MSN Messenger
2008-03-02 22:20 --------- dcsh--w D:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-03-02 22:20 --------- d-----w D:\Program Files\Windows Live
2008-03-02 22:20 --------- d-----w D:\Documents and Settings\All Users\Application Data\WLInstaller
2008-02-20 06:51 282,624 ----a-w D:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w D:\WINDOWS\system32\dnsrslvr.dll
2007-11-09 21:02 47,360 ----a-w D:\Documents and Settings\GeOfFrEy\Application Data\pcouffin.sys
2007-07-10 16:32 14 -c--a-w D:\Documents and Settings\GeOfFrEy\getfile.dat
2007-07-10 17:04 120,096 -csha-w D:\WINDOWS\fidbox.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 23:17 262401]
"Cmaudio"="cmicnfg.cpl" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
c:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 c:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-20 01:09 15360 D:\WINDOWS\System32\CTFMON.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 c:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2007-04-16 15:28 577536 D:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Ati HotKey Poller"=2 (0x2)
"aswUpdSv"=2 (0x2)
"usnjsvc"=3 (0x3)
"a2free"=2 (0x2)
"WLSetupSvc"=3 (0x3)
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 avgntmgr;avgntmgr;D:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-16 23:17]
R0 videX32;videX32;D:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 11:36]
R1 avgntdd;avgntdd;D:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 23:17]
S2 UxTuneUp;Extension de conception TuneUp;D:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 01:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-26 19:09:04
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\EverestDriver]
"ImagePath"="\??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
Temps d'accomplissement: 2008-04-26 19:10:52
ComboFix-quarantined-files.txt 2008-04-26 17:10:46

Pre-Run: 1,386,950,656 octets libres
Post-Run: 1,375,182,848 octets libres

128 --- E O F --- 2008-04-10 17:20:49

VUNDOFIX

VundoFix V7.0.3

Scan started at 18:50:29 26/04/2008

Listing files found while scanning....

No infected files were found.

Beginning removal...

HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:00, on 26/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O20 - Winlogon Notify: !SASWinLogon - c:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: vadokmxt - {C742294E-F80D-4C1D-AC15-0D49A7AFBF9C} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

eZula · Answer

Vas sur ce site https://www.virustotal.com/gui/
Colle dans la case à gauche de "parcourir" :
D:\WINDOWS\qnmargolgnm.dll
clique ensuite sur "send". Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention [b]"FINISHED"[/b] sur la droite. Dépose le dans ta réponse.
Recommence avec ces chemins :
D:\WINDOWS\wdpoefan.dll
D:\WINDOWS\dpevflbg.dll

Graydon1001 · Answer

voici les resultats

D:\WINDOWS\qnmargolgnm.dll


Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.4.25.2	2008.04.25	-
AntiVir	7.8.0.10	2008.04.25	ADSPY/Vapsup.egm
Authentium	4.93.8	2008.04.26	-
Avast	4.8.1169.0	2008.04.25	Win32:Vapsup-EB
AVG	7.5.0.516	2008.04.26	Generic10.PSB
BitDefender	7.2	2008.04.26	-
CAT-QuickHeal	9.50	2008.04.26	-
ClamAV	0.92.1	2008.04.26	-
DrWeb	4.44.0.09170	2008.04.26	-
eSafe	7.0.15.0	2008.04.21	-
eTrust-Vet	31.3.5736	2008.04.26	-
Ewido	4.0	2008.04.26	-
F-Prot	4.4.2.54	2008.04.26	W32/Adware-RegBHO-based.1!Maximus
F-Secure	6.70.13260.0	2008.04.26	Trojan.Win32.Vapsup.eho
FileAdvisor	1	2008.04.26	-
Fortinet	3.14.0.0	2008.04.26	W32/Emogen.AC!tr
Ikarus	T3.1.1.26	2008.04.26	Trojan.BHO.Agent.221184
Kaspersky	7.0.0.125	2008.04.26	Trojan.Win32.Vapsup.eho
McAfee	5282	2008.04.25	-
Microsoft	1.3408	2008.04.22	Trojan:Win32/Zlob.ZWY
NOD32v2	3057	2008.04.26	-
Norman	5.80.02	2008.04.25	-
Panda	9.0.0.4	2008.04.26	-
Prevx1	V2	2008.04.26	KAVKOP:Payload-A
Rising	20.41.52.00	2008.04.26	Trojan.Clicker.Win32.Agent.ypq
Sophos	4.28.0	2008.04.26	Mal/Emogen-AC
Sunbelt	3.0.1056.0	2008.04.17	-
Symantec	10	2008.04.26	Downloader.Zlob!gen.2
TheHacker	6.2.92.293	2008.04.26	Trojan/Vapsup.eho
VBA32	3.12.6.5	2008.04.26	Trojan.Win32.Vapsup.eho
VirusBuster	4.3.26:9	2008.04.26	-
Webwasher-Gateway	6.6.2	2008.04.26	Ad-Spyware.Vapsup.egm
Information additionnelle
File size: 217088 bytes
MD5...: 8a09ef15ea23820b6c72280e1acf1367
SHA1..: b9985be2c2a5c52404220fc64cf85949ad3e8704
SHA256: 946c8dcbeef6b458d23ce23b5501dfc589298183c3910325044ef3fa0271aaa7
SHA512: 035ff8f403095800903a6468608f3a4c4fac302723b1d809b358f7fba3e7a28a
9a93cf2de5bea3612a30195ca0ef033baf7709e11d42610fdcdca184af1df84b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10011f3c
timedatestamp.....: 0x480f7e70 (Wed Apr 23 18:22:40 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2303b 0x24000 6.55 0fdd6158f9e76689f42fd6825239f978
.rdata 0x25000 0x97c3 0xa000 4.87 085b82e26a5c42785cade3d7568c7dc1
.data 0x2f000 0x397c 0x2000 3.89 32e293ba8f8e6edce79bd3f1a0967a56
.rsrc 0x33000 0xb60 0x1000 3.49 856b38df835f2162559c17a32b25b263
.reloc 0x34000 0x2c9c 0x3000 4.81 90c6d699ed19fff3c2ade3e9188405de

( 6 imports )
> KERNEL32.dll: CreateFileW, SetFilePointer, WriteFile, InterlockedIncrement, InterlockedDecrement, FreeLibrary, lstrcmpiW, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, Sleep, RaiseException, GetLastError, EnterCriticalSection, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, GetProcAddress, LoadLibraryW, CreateFileA, SetEndOfFile, CreateThread, CloseHandle, ResetEvent, WaitForSingleObject, OpenEventW, LocalAlloc, lstrlenW, FormatMessageW, GetModuleFileNameW, LocalFree, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, ReadFile, FlushFileBuffers, SetStdHandle, GetStringTypeW, GetStringTypeA, LoadLibraryA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapReAlloc, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetModuleHandleA, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, RtlUnwind, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP, GetConsoleMode
> USER32.dll: UnregisterClassA, MessageBoxW, CharNextW
> ADVAPI32.dll: RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteKeyW, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, RegEnumKeyExW, RegQueryValueExW
> ole32.dll: CoTaskMemRealloc, CoTaskMemAlloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: StrToIntW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer




D:\WINDOWS\wdpoefan.dll 


Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.4.25.2	2008.04.25	-
AntiVir	7.8.0.10	2008.04.25	ADSPY/Agent.PB
Authentium	4.93.8	2008.04.26	-
Avast	4.8.1169.0	2008.04.26	Win32:Agent-LTS
AVG	7.5.0.516	2008.04.26	BHO.DSF
BitDefender	7.2	2008.04.26	-
CAT-QuickHeal	9.50	2008.04.26	Trojan.Vapsup.eho
ClamAV	0.92.1	2008.04.26	-
DrWeb	4.44.0.09170	2008.04.26	-
eSafe	7.0.15.0	2008.04.21	-
eTrust-Vet	31.3.5736	2008.04.26	Win32/Pripecs!generic
Ewido	4.0	2008.04.26	-
F-Prot	4.4.2.54	2008.04.26	-
F-Secure	6.70.13260.0	2008.04.26	Trojan.Win32.Vapsup.eho
FileAdvisor	1	2008.04.26	-
Fortinet	3.14.0.0	2008.04.26	W32/Vapsup.EHO!tr
Ikarus	T3.1.1.26	2008.04.26	AdWare.Agent.PB
Kaspersky	7.0.0.125	2008.04.26	Trojan.Win32.Vapsup.eho
McAfee	5282	2008.04.25	-
Microsoft	1.3408	2008.04.22	Trojan:Win32/Zlob.AI
NOD32v2	3057	2008.04.26	-
Norman	5.80.02	2008.04.25	-
Panda	9.0.0.4	2008.04.26	-
Prevx1	V2	2008.04.26	Generic.Malware
Rising	20.41.52.00	2008.04.26	Trojan.Win32.Zlob.ajl
Sophos	4.28.0	2008.04.26	-
Sunbelt	3.0.1056.0	2008.04.17	-
Symantec	10	2008.04.26	Downloader.Zlob!gen.2
TheHacker	6.2.92.293	2008.04.26	Trojan/Vapsup.ehp
VBA32	3.12.6.5	2008.04.26	Trojan.Win32.Vapsup.eho
VirusBuster	4.3.26:9	2008.04.26	-
Webwasher-Gateway	6.6.2	2008.04.26	Ad-Spyware.Agent.PB
Information additionnelle
File size: 212992 bytes
MD5...: fac3fb92ec11a6422ea5b63554ff3fcf
SHA1..: 122860bc5478b580dd26f6b9e549b59224ef8cf6
SHA256: a04987bf51e094d815d48f91273778042caf48c401a56e6bd0d7f7db64616e59
SHA512: 7656df1792114902b1b8afd285839681a9a7bfb9f94fda601b2d47583d4b5831
ce3e04021f74bc70945ae81e9dfe257eb81cafeb82fcc16eb9eca035024ce612
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100157ea
timedatestamp.....: 0x480f7982 (Wed Apr 23 18:01:38 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x27ea4 0x28000 6.56 629e33d82beed6f73dfc35894cda7aae
.data 0x29000 0x3160 0x2000 2.42 9627d1f7e0a07bcb51e9338139500701
.rsrc 0x2d000 0x51e0 0x6000 4.10 100afe8539d6c68ae8dc66e37056ff76
.reloc 0x33000 0x233e 0x3000 3.87 e008c69811df6cb6e8e4c3ad27172172

( 4 imports )
> KERNEL32.dll: CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, CloseHandle, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, WriteFile, CreateFileW, lstrcpynW, GetSystemTime, GetLocaleInfoA, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, HeapSize, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, CreateFileA
> USER32.dll: GetDesktopWindow, GetWindow, MessageBoxW
> ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW
> ole32.dll: CoInitialize

( 0 exports ) 



D:\WINDOWS\dpevflbg.dll


Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	ADSPY/AdSpy.Gen
Authentium 	- 	- 	-
Avast 	- 	- 	Win32:Vapsup-CS
AVG 	- 	- 	Downloader.Zlob.SE
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eSafe 	- 	- 	-
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	-
F-Secure 	- 	- 	-
FileAdvisor 	- 	- 	-
Fortinet 	- 	- 	-
Ikarus 	- 	- 	AdWare.AdSpy
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
Microsoft 	- 	- 	-
NOD32v2 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	-
Prevx1 	- 	- 	KAVKOP:Trojan-A
Rising 	- 	- 	-
Sophos 	- 	- 	-
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
VBA32 	- 	- 	-
VirusBuster 	- 	- 	-
Webwasher-Gateway 	- 	- 	Ad-Spyware.AdSpy.Gen
Information additionnelle
MD5: fac2f277ac9bdf751e38dbba16810a3f
SHA1: 305fe797d76875c0e5035e50f03e7b9a0075de1c
SHA256: 0755e7a5c755374e36edf81d4c57d028b50c8b9424021de64cf5d653ec16456c

eZula · Answer

ok, ça n'est pas très recommandable tout ça. Télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le

Graydon1001 · Answer

voici le rapport

SmitFraudFix v2.319

Rapport fait à 20:00:03,32, 26/04/2008
Executé à partir de D:\Documents and Settings\GeOfFrEy\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\GeOfFrEy


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\GeOfFrEy\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\GeOfFrEy\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B05BF3A4-4977-4E14-97E0-35F6955D0C19}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B05BF3A4-4977-4E14-97E0-35F6955D0C19}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B05BF3A4-4977-4E14-97E0-35F6955D0C19}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B05BF3A4-4977-4E14-97E0-35F6955D0C19}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

eZula · Answer

1. Vas sur ce site http://siri.urz.free.fr/upload
"Lien vers le message du forum où le fichier a été demandé:" colle l'adresse de cette page
"Fichier:" -> colle ce chemin en gras D:\WINDOWS\qnmargolgnm.dll  et clique sur "upload"
recommence avec :
 D:\WINDOWS\wdpoefan.dll
D:\WINDOWS\dpevflbg.dll

2. Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les 4 lignes suivantes :

File::
D:\WINDOWS\wdpoefan.dll
D:\WINDOWS\qnmargolgnm.dll
D:\WINDOWS\dpevflbg.dll


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

]http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

[*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) ,[b] tape 1/b puis valide.
[*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Graydon1001 · Answer

voici le rapport

Tu crois que je vais m'en sortir ou c vraiment la merde???

en tout cas merci a toi quand meme

ComboFix 08-04-24.1 - GeOfFrEy 2008-04-26 20:27:32.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1123 [GMT 2:00]
Endroit: D:\Documents and Settings\GeOfFrEy\Bureau\ComboFix.exe
Command switches used :: D:\Documents and Settings\GeOfFrEy\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
D:\WINDOWS\dpevflbg.dll
D:\WINDOWS\qnmargolgnm.dll
D:\WINDOWS\wdpoefan.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS\dpevflbg.dll
D:\WINDOWS\qnmargolgnm.dll
D:\WINDOWS\wdpoefan.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-26 to 2008-04-26 ))))))))))))))))))))))))))))))))))))
.

2008-04-26 02:34 . 2001-08-28 14:00 3,374,512 --a--c--- D:\WINDOWS\system32\dllcache\tourW.exe
2008-04-26 02:30 . 2008-04-26 02:30 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\nCleaner
2008-04-26 02:25 . 2008-04-26 02:28 <REP> d-------- D:\Program Files\Windows Live Safety Center
2008-04-26 00:50 . 2008-04-26 00:50 16 --a------ D:\WINDOWS\system32\f0135044
2008-04-25 04:28 . 2008-04-25 04:28 <REP> d-------- D:\Documents and Settings\Administrateur\Application Data\TuneUp Software
2008-04-25 03:33 . 2008-04-26 20:00 1,394 --a------ D:\WINDOWS\system32\tmp.reg
2008-04-25 03:33 . 2008-04-25 04:41 0 --a------ D:\WINDOWS\system32\tmp.MSNFix
2008-04-25 03:32 . 2007-09-06 00:22 289,144 --a------ D:\WINDOWS\system32\VCCLSID.exe
2008-04-25 03:32 . 2006-04-27 17:49 288,417 --a------ D:\WINDOWS\system32\SrchSTS.exe
2008-04-25 03:32 . 2008-04-24 08:10 86,528 --a------ D:\WINDOWS\system32\VACFix.exe
2008-04-25 03:32 . 2008-04-23 22:14 82,944 --a------ D:\WINDOWS\system32\IEDFix.exe
2008-04-25 03:32 . 2008-04-23 22:14 82,944 --a------ D:\WINDOWS\system32\404Fix.exe
2008-04-25 03:32 . 2003-06-05 21:13 53,248 --a------ D:\WINDOWS\system32\Process.exe
2008-04-25 03:32 . 2004-07-31 18:50 51,200 --a------ D:\WINDOWS\system32\dumphive.exe
2008-04-25 03:32 . 2007-10-04 00:36 25,600 --a------ D:\WINDOWS\system32\WS2Fix.exe
2008-04-25 03:15 . 2008-04-25 03:15 <REP> d-------- D:\VundoFix Backups
2008-04-23 23:43 . 2008-04-23 23:46 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-23 19:56 . 2008-04-23 19:04 691,545 --a------ D:\WINDOWS\unins000.exe
2008-04-23 19:56 . 2008-04-23 19:56 2,558 --a------ D:\WINDOWS\unins000.dat
2008-04-23 19:37 . 2008-04-23 19:37 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\SUPERAntiSpyware.com
2008-04-23 19:37 . 2008-04-23 19:37 <REP> d-------- D:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-04-23 19:36 . 2008-04-23 23:41 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard
2008-04-12 01:23 . 2008-04-12 01:23 <REP> d-------- D:\WINDOWS\system32\FlashAX
2008-04-12 01:06 . 2008-04-12 01:06 59 --a------ D:\WINDOWS\pp.enc
2008-04-12 01:01 . 2008-04-12 01:31 <REP> d-------- D:\Documents and Settings\GeOfFrEy\Application Data\Microgaming
2008-04-11 19:42 . 2008-04-17 00:38 248 --a------ D:\WINDOWS\system32\systemdrv32.aso
2008-04-11 19:37 . 2008-04-11 19:37 <REP> d-------- D:\Program Files\_uninstallation_info
2008-04-11 07:43 . 2008-04-11 07:44 <REP> d-------- D:\Program Files\UpperClassPoker
2008-04-11 07:18 . 2008-04-26 19:31 <REP> d-------- D:\Program Files\MansionPoker
2008-04-11 07:06 . 2008-04-12 00:29 <REP> d-------- D:\Poker
2008-04-06 21:22 . 2008-04-06 21:22 <REP> d-------- D:\Documents and Settings\All Users\Application Data\T6

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-26 17:31 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\Azureus
2008-04-25 23:51 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-15 12:12 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\OpenOffice.org2
2008-03-30 20:09 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-03-20 08:09 1,845,376 ----a-w D:\WINDOWS\system32\win32k.sys
2008-03-12 19:52 --------- d-----w D:\Documents and Settings\GeOfFrEy\Application Data\TVU networks
2008-03-12 19:52 --------- d-----w D:\Documents and Settings\All Users\Application Data\TVU networks
2008-03-02 22:24 --------- d-----w D:\Program Files\MSN Messenger
2008-03-02 22:20 --------- dcsh--w D:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-03-02 22:20 --------- d-----w D:\Program Files\Windows Live
2008-03-02 22:20 --------- d-----w D:\Documents and Settings\All Users\Application Data\WLInstaller
2008-02-20 06:51 282,624 ----a-w D:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w D:\WINDOWS\system32\dnsrslvr.dll
2007-11-09 21:02 47,360 ----a-w D:\Documents and Settings\GeOfFrEy\Application Data\pcouffin.sys
2007-07-10 16:32 14 -c--a-w D:\Documents and Settings\GeOfFrEy\getfile.dat
2007-07-10 17:04 120,096 -csha-w D:\WINDOWS\fidbox.dat
.

((((((((((((((((((((((((((((( snapshot@2008-04-26_19.10.36,26 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-26 16:48:07 2,048 --s-a-w D:\WINDOWS\bootstat.dat
+ 2008-04-26 17:14:00 2,048 --s-a-w D:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 23:17 262401]
"Cmaudio"="cmicnfg.cpl" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
c:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 c:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-20 01:09 15360 D:\WINDOWS\System32\CTFMON.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 c:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2007-04-16 15:28 577536 D:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Ati HotKey Poller"=2 (0x2)
"aswUpdSv"=2 (0x2)
"usnjsvc"=3 (0x3)
"a2free"=2 (0x2)
"WLSetupSvc"=3 (0x3)
"aawservice"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 avgntmgr;avgntmgr;D:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-16 23:17]
R0 videX32;videX32;D:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 11:36]
R1 avgntdd;avgntdd;D:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 23:17]
R2 UxTuneUp;Extension de conception TuneUp;D:\WINDOWS\System32\svchost.exe [2004-08-20 01:10]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 01:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-26 20:28:48
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\EverestDriver]
"ImagePath"="\??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
Temps d'accomplissement: 2008-04-26 20:31:38
ComboFix-quarantined-files.txt 2008-04-26 18:30:35

Pre-Run: 1,350,176,768 octets libres
Post-Run: 1,338,781,696 octets libres

135 --- E O F --- 2008-04-10 17:20:49

eZula · Answer

On va bien voir, mais en général, vundo c'est bien chiant.
Est-ce que tu pourrais me donner précisément quelques noms de fichiers que tu verrais dans le dossier D:\WINDOWS\system32\f0135044 ?

sinon ce programme "Absolute Poker", c'est toi qui l'as installé ?

Graydon1001 · Answer

absolute poker c moi qui l'ai installe, c'est un logiciel de poker et il marche bien mais s'il faut je l'enleve

sinon dans le dossier que tu me dis c un fichier de 1ko mais je ne sais pas l'ouvrir il n'y a pas de programme associe...

que faire??

eZula · Answer

le programme de poker, je ne sai spas ce que c'est mais bon ça n'inspire pas toujours confiance. 

Attention, je te demande juste le nom des fichiers, si tu préfères, fais comme ceci :

Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document texte". Ouvre-le et copie-colle dedans ces 3 lignes en gras :

dir /s D:\WINDOWS\system32\f0135044 > list.txt
notepad list.txt
del list.txt

Dans le menu "fichier"/"enregistrer sous", sélectionne :
"Nom du fichier" : list.bat
"Type" : "tous les fichiers"
Clique ensuite sur "enregistrer".

double-clique dessus, le bloc-notes s'ouvre au bout de quelques instants. Copie et poste son contenu.

Graydon1001 · Answer

voila le contenu 

Le volume dans le lecteur D n'a pas de nom.
 Le num‚ro de s‚rie du volume est E46F-66FC

 R‚pertoire de D:\WINDOWS\system32

26/04/2008  00:50                16 f0135044
               1 fichier(s)               16 octets

     Total des fichiers list‚sÿ:
               1 fichier(s)               16 octets
               0 R‚p(s)   1ÿ349ÿ758ÿ976 octets libres

eZula · Answer

et si tu fais scanner ce fichier sur virustotal, ça donne quoi ?

Graydon1001 · Answer

excuse moi je n'avais pas vu le dernier message je le fais de suite je te dis koi

Graydon1001 · Answer

je viens de le scanner mais il ne trouve rien 0/32

je sais pas comment je vais l'enlever ce p.......... de truc!!!!!!!!!!!

eZula · Answer

c'est peut être pas un truc méchant, la preuve, trente deux  antivirus qui ne lui trouvent rien de particulier.
Ce qui est bizarre c'est qu'il a l'air d'avoir été créé récemment.
Tu peux toujours tenter de le renommer en lui ajoutant une extension .off, puis tu vois ce que ça donne au bout de plusieurs redémarrages et tests de tes  applications.

Tu te sens le courage de faire un scan en ligne https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 (si oui poste le rapport lorsqu'il a terminé.)

Graydon1001 · Answer

ok je fais ca puis je poste

vu le temps ke ca va prendre tu le verras demain ou apres

mais bon c gentil de ta part en tout cas de prendre du temps pour mon probleme

graydon1001 · Answer

voila ce qu'il a supprime je pense bien que c bon 
je redemarre et puis je croise les doigts
merci beaucoup





D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP3\A0006256.dll
	

Infecté par: Trojan.Vundo.EIK

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP3\A0006256.dll
	

Supprimé

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP3\A0006258.dll
	

Infecté par: Trojan.Vundo.EIK

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP3\A0006258.dll
	

Supprimé

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP3\A0006259.dll
	

Infecté par: Trojan.Vundo.EIK

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP3\A0006259.dll
	

Supprimé

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP3\A0006261.dll
	

Infecté par: Trojan.Vundo.EIK

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP3\A0006261.dll
	

Supprimé

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP4\A0006265.dll
	

Infecté par: Trojan.Vundo.EIK

D:\System Volume Information\_restore{C8489A1A-874B-4796-8AA5-D8E727B31989}\RP4\A0006265.dll
	

Supprimé

eZula · Answer

Ok ç aparait correct

graydon1001 · Answer

je pense bien qu'il est supprime car ya plus rien quand je demarre enfin!!!!!!!!!!!

merci beaucoup

mais je pense kil y a un autre probleme mon pc est assez lent pour ouvrir des pages internet alors qu'avant ca allait plutot vite

eZula · Answer

Pour terminer, utilise [url=http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe][g]ToolsCleaner![/g][/url] (de A.Rothstein) pour nettoyer les utilitaires téléchargés.

* Lorsqu'il a terminé, désactive ta restauration système, redémarre l'ordinateur et réactive-la :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* Utilise hebdomadairement ce petit programme https://filehippo.com/windows/tuning-utilities/ pour effectuer tes mises à jour logicielles. Il suffit de télécharger le fichier udc.exe à partir du lien "Download now" et de le lancer (aucune installation n'est requise). Les liens des programmes à mettre à jour apparaitront alors dans une page web.
Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
* N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)

* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas 

* Note importante : "Les comptes Administrateur ne sont pas appropriés pour une utilisation occasionnelle ; toute personne utilisant votre ordinateur devrait par conséquent disposer d'un compte utilisateur limité afin de pouvoir accomplir des activités ordinaires, telles que le traitement de texte, la messagerie, le mutlimédia, la navigation sur le Web... Si vous êtes victime d'une attaque par un logiciel malveillant, l'attaquant peut accéder à votre ordinateur par l'intermédiaire du compte auquel vous êtes connecté ; des comptes limités donnent à l'attaquant un accès restreint, tandis qu'un compte administrateur lui donne un accès total."
=> Voir https://www.microsoft.com/de-ch

à+

graydon1001 · Answer

voila je viens de faire ce que tu dis sur ton dernier message
normalement ca devrait aller ya plus rien
jvais juste lancer une analyse antivir et puis on verra
je te remercie pour ton aide en tout cas
bonne continuation a toi...

Probleme avec un virus... HELP!!!!!!!!

28 réponses

Votre réponse

Discussions similaires

Newsletters