TRojan Vundo Résolu

Question

Bonjour,

Après Analyse avec Malwaresbytes je vous livre le log apparement je suis infecter 
Voila j'attend la marche à suivre 
Merci d'avance 

Malwarebytes' Anti-Malware 1.08
Version de la base de données: 493

Type de recherche: Examen rapide
Eléments examinés: 29622
Temps écoulé: 4 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Yumi99 · Answer

je te conseille de nettoyer ton ordi.ensuite refait marcher l'anti virus .Je te conseille un anti virus asssez efficace:voila le mode d'emploi :

Nom de l'anti-virus : NOD32
Pourcentage de son efficacité(il fait parti des meilleurs anti-virus): 80%
/!\Avant de l'installer/!\:
NE PAS OUBLIER AVANT D'INSTALLER CET ANTI-VIRUS DE SUPRIMMER L'ANCIEN ANTI-VIRUS,SINON VOUS L'AUREZ TELECHARGER POUR RIEN

Aurevoir et bonne chance !!

^^Marie^^ · Answer

Bonjour

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

* Double-clique VundoFix.exe afin de le lancer. 
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo 
* Clique sur le bouton Scan for Vundo. 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK 
* Démarre ton PC à nouveau. 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt 


Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse 


ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.



+++

green day · Answer

Salut

Télécharge ceci : 

Lien : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm 

Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum. 

++

ludsfa · Answer

salut,


Télécharge Hijackthis (de Trend Micro) :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

Poste un rapport en suivant ce tuto:
http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/tuto_hijackthisv202_version_install-346620/messages-1.html

(en ayant renommé HiJackthis.exe en SCANNER.EXE) 



Télécharge VundoFix.exe : 
http://www.atribune.org/ccount/click.php?id=4
Double-clique VundoFix.exe .
Clique sur  Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Ensuite  clique sur YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu auras un message comme quoi l’ordinateur va s’éteindre, fais ok
 Poste le rapport qui se trouve dans C:\vundofix.txt 



et enfin,

Télécharge Combofix (par sUBs) sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

(Tuto: http://mickael.barroux.free.fr/securite/combofix.php

Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.  
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.  
 
Le rapport se trouve ici : C:\Combofix.txt

green day · Answer

Je laisse la main ! :)

alex37190 · Answer

Bon , et bien vundofix ne m'a rien trouvé donc bizzare !!

L'autre vundo m'a sorti ceci 


[05/02/2008, 11:10:09] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Propriétaire\Bureau\VirtumundoBeGone.exe" )
[05/02/2008, 11:10:15] - Detected System Information:
[05/02/2008, 11:10:15] -  Windows Version: 5.1.2600, Service Pack 2
[05/02/2008, 11:10:15] -  Current Username: Propriétaire (Admin)
[05/02/2008, 11:10:15] -  Windows is in NORMAL mode.
[05/02/2008, 11:10:15] - Searching for Browser Helper Objects:
[05/02/2008, 11:10:15] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/02/2008, 11:10:15] -  BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/02/2008, 11:10:15] -  BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/02/2008, 11:10:15] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/02/2008, 11:10:15] -  No filename found. Continuing.
[05/02/2008, 11:10:15] -  BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[05/02/2008, 11:10:15] - Finished Searching Browser Helper Objects
[05/02/2008, 11:10:15] - Finishing up...
[05/02/2008, 11:10:15] - Nothing found! Exiting...




Log --> Highjack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:11:34, on 02/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=169.254.75.233
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

alex37190 · Answer

Pour info 

je suis en reseau , et ceci O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe 
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe 

C'est tout à fait normal je l'utilise souvent

ludsfa · Answer

salut,

Tu suis les directive de marie ou tu veux suivre les miennes .

J'attends ta réponse.

alex37190 · Answer

Bah va s'y je te fais confiance c'est parti

ludsfa · Answer

bien alors fais moi le rapport combofix comme décrit sur le poste 5

ainsi qu'un hijackthis après combofix (en ayant renommé HiJackthis.exe en SCANNER.EXE)

alex37190 · Answer

ComboFix 08-05-01.1 - Propriétaire 2008-05-02 12:15:58.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.428 [GMT 2:00] Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\bafadbfb_r.dll C:\WINDOWS\system32\fmwanwjj.ini C:\WINDOWS\system32\iqnagmnj.ini C:\WINDOWS\system32\jspuhwlg.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_6TO4 -------\Service_6to4 ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-02 to 2008-05-02 )))))))))))))))))))))))))))))))))))) . 2008-05-02 10:58 . 2008-05-02 10:58 d-------- C:\VundoFix Backups 2008-05-02 10:09 . 2008-05-02 10:09 d-------- C:\Program Files\DNA 2008-04-26 16:57 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-04-11 12:00 . 2008-04-11 12:00 d-------- C:\d2db13ad0e412c294bf2bc 2008-04-06 14:06 . 2008-04-06 14:06 d-------- C:\WINDOWS\Sun . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-02 10:20 --------- d-----w C:\Program Files\RamBoost XP 2008-05-02 10:05 --------- d-----w C:\Program Files\Spyware Terminator 2008-05-02 10:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spyware Terminator 2008-05-02 09:49 141,312 ----a-w C:\WINDOWS\system32\drivers\sp_rsdrv2.sys 2008-04-30 08:54 --------- d-----w C:\Program Files\Soulseek 2008-04-26 14:57 --------- d-----w C:\Program Files\Java 2008-04-21 18:34 --------- d-----w C:\Program Files\Unlocker 2008-04-02 13:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink 2008-03-30 19:00 --------- d-----w C:\Program Files\Macrogaming 2008-03-29 14:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-03-28 12:45 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-03-15 13:31 --------- d-----w C:\Program Files\Avira 2008-03-15 13:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira 2008-03-15 13:19 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-03-15 13:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-03-15 13:02 --------- d-----w C:\Program Files\Trend Micro 2008-03-12 19:43 --------- d-----w C:\Program Files\Google 2008-03-12 19:26 --------- d-----w C:\Program Files\Trojan Remover 2008-03-12 18:19 --------- d-----w C:\Program Files\a-squared Free 2008-03-12 10:56 --------- d-----w C:\Program Files\BitComet . ------- Sigcheck ------- 2007-06-13 15:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-05 14:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-02 10:09 289088] "RamBoostXp"="C:\Program Files\RamBoost XP ambxpfr.exe" [2004-03-09 23:48 1542144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-05-02 11:49 1817600] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 18:11 262401] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll "msacm.divxa32"= msaud32_divx.acm [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BTTray.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BTTray.lnk backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk backup=C:\WINDOWS\pss\Utility Tray.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^Anti-Pub.lnk] path=C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\Anti-Pub.lnk backup=C:\WINDOWS\pss\Anti-Pub.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk] path=C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-09-20 16:35 202024 C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-05 14:00 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] --a--c--- 2005-05-12 00:12 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 12:34 5724184 c:\program files\windows live\messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-09-20 10:51 1836328 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 16:57 153136 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RamBoostXp] --a------ 2004-03-09 23:48 1542144 C:\Program Files\RamBoost XP ambxpfr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower] --a------ 2007-01-03 19:38 49152 C:\WINDOWS\system32\SiSPower.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkwatAutoconnect] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a--c--- 2007-01-03 19:26 57344 C:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2004-12-20 20:41 33792 C:\Program Files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsService] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsUpdate] C:\WINDOWS\system32\jnmganqi.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Soulseek\slsk.exe"= "C:\Program Files\BitComet\BitComet.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\DNA\btdna.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "18937:TCP"= 18937:TCP:BitComet 18937 TCP "18937:UDP"= 18937:UDP:BitComet 18937 UDP R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-05-02 11:49] R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-05-02 07:59:15 C:\WINDOWS\Tasks\Nettoyage de disque.job" - C:\WINDOWS\system32\cleanmgr.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-02 12:20:36 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\MouseHook2.dll . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\a-squared Free\a2service.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\HPZipm12.exe C:\Program Files\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\wdfmgr.exe C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-02 12:25:43 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-02 10:25:36 Pre-Run: 53,706,096,640 octets libres Post-Run: 53,706,870,784 octets libres 180 --- E O F --- 2008-04-13 18:37:27

alex37190 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:09, on 02/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\WINDOWS\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=169.254.75.233
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

Yeuwhypot · Answer

bonjour à tous

je ne veut pas intervenir directement sur cette discussion que je suis avec interet ayant posté le mien

http://www.commentcamarche.net/forum/affich 6217576 avis sur hijackthis log apres virtumonde

si quelqun qui suis celle ci peut jeter un oeil

Merci

ludsfa · Answer

bien


Fais analyser ces fichier sur ce site >> Virustotal :
http://www.virustotal.com/flash/index_en.html

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :

C:\WINDOWS\system32\javacpl.cpl 
C:\d2db13ad0e412c294bf2bc 


ensuite:

Copie le texte se situant en gras ci-dessous : 



folder::
C:\VundoFix Backups 



Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
 
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :clic sur le lien voir comment faire
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
 
Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.

^^Marie^^ · Answer

je laisse la main ;)

alex37190 · Answer

Euh j'ai pas tout compris avec le site la 

J'ai fais parcourir j'ai trouver ceci C:\WINDOWS\system32\javacpl.cpl 
Puis ensuite je fais quoi envoyer le fichier ?

alex37190 · Answer

Fichier javacpl.cpl reçu le 2008.04.26 18:07:22 (CET)
Situation actuelle: terminé 

Résultat: 0/32 (0.00%)

L'autre je ne peux pas le faire il y a tout un tas de fichier a l'interieur

ludsfa · Answer

Ce n'est pas grave fais l'étape combofix.

Ce n'est pas grave du tout.

alex37190 · Answer

Voila le rapport Combofix ComboFix 08-05-01.1 - Propriétaire 2008-05-02 12:56:45.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.435 [GMT 2:00] Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-04-02 to 2008-05-02 )))))))))))))))))))))))))))))))))))) . 2008-05-02 12:25 . 2008-05-02 12:25 d-------- C:\Documents and Settings\PropriÚtaire 2008-05-02 10:58 . 2008-05-02 10:58 d-------- C:\VundoFix Backups 2008-05-02 10:09 . 2008-05-02 10:09 d-------- C:\Program Files\DNA 2008-05-02 10:09 . 2008-05-02 12:50 d-------- C:\Documents and Settings\Propriétaire\Application Data\DNA 2008-05-02 10:09 . 2008-05-02 12:50 d-------- C:\Documents and Settings\Propriétaire\Application Data\DNA 2008-05-02 10:09 . 2008-05-02 12:50 d-------- C:\Documents and Settings\Propriétaire\Application Data\DNA 2008-04-26 16:57 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-04-11 12:00 . 2008-04-11 12:00 d-------- C:\d2db13ad0e412c294bf2bc 2008-04-06 14:06 . 2008-04-06 14:06 d-------- C:\WINDOWS\Sun 2008-04-02 15:36 . 2008-04-02 15:36 d-------- C:\Documents and Settings\Propriétaire\Application Data\dvdcss 2008-04-02 15:36 . 2008-04-02 15:36 d-------- C:\Documents and Settings\Propriétaire\Application Data\dvdcss 2008-04-02 15:36 . 2008-04-02 15:36 d-------- C:\Documents and Settings\Propriétaire\Application Data\dvdcss . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-02 10:20 --------- d-----w C:\Program Files\RamBoost XP 2008-05-02 10:05 --------- d-----w C:\Program Files\Spyware Terminator 2008-05-02 10:05 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Spyware Terminator 2008-05-02 10:05 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Spyware Terminator 2008-05-02 10:05 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Spyware Terminator 2008-05-02 10:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spyware Terminator 2008-05-02 09:49 141,312 ----a-w C:\WINDOWS\system32\drivers\sp_rsdrv2.sys 2008-04-30 08:54 --------- d-----w C:\Program Files\Soulseek 2008-04-26 14:57 --------- d-----w C:\Program Files\Java 2008-04-24 08:16 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\OpenOffice.org2 2008-04-24 08:16 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\OpenOffice.org2 2008-04-24 08:16 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\OpenOffice.org2 2008-04-21 18:34 --------- d-----w C:\Program Files\Unlocker 2008-04-18 20:10 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\U3 2008-04-18 20:10 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\U3 2008-04-18 20:10 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\U3 2008-04-02 13:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink 2008-03-30 19:00 --------- d-----w C:\Program Files\Macrogaming 2008-03-30 14:04 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\XnView 2008-03-30 14:04 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\XnView 2008-03-30 14:04 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\XnView 2008-03-29 14:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-03-28 12:46 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\mIRC 2008-03-28 12:46 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\mIRC 2008-03-28 12:46 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\mIRC 2008-03-28 12:45 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-15 13:31 --------- d-----w C:\Program Files\Avira 2008-03-15 13:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira 2008-03-15 13:19 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-03-15 13:19 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes 2008-03-15 13:19 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes 2008-03-15 13:19 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes 2008-03-15 13:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-03-15 13:02 --------- d-----w C:\Program Files\Trend Micro 2008-03-12 19:43 --------- d-----w C:\Program Files\Google 2008-03-12 19:26 --------- d-----w C:\Program Files\Trojan Remover 2008-03-12 19:24 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Leadertech 2008-03-12 19:24 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Leadertech 2008-03-12 19:24 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Leadertech 2008-03-12 18:19 --------- d-----w C:\Program Files\a-squared Free 2008-03-12 10:56 --------- d-----w C:\Program Files\BitComet 2008-03-11 15:18 1,572 ----a-w C:\WINDOWS\system32 mp.reg 2008-03-09 00:15 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe 2008-03-05 21:29 82,432 ----a-w C:\WINDOWS\system32\IEDFix.exe 2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll . ------- Sigcheck ------- 2007-06-13 15:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-05 14:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-02 10:09 289088] "RamBoostXp"="C:\Program Files\RamBoost XP ambxpfr.exe" [2004-03-09 23:48 1542144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-05-02 11:49 1817600] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 18:11 262401] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] C:\Documents and Settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\ RocketDock.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe [2006-05-14 22:47:48 344064] Y'z Toolbar.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 14:41:10 90112] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll "msacm.divxa32"= msaud32_divx.acm [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BTTray.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BTTray.lnk backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk backup=C:\WINDOWS\pss\Utility Tray.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^Anti-Pub.lnk] path=C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\Anti-Pub.lnk backup=C:\WINDOWS\pss\Anti-Pub.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk] path=C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-09-20 16:35 202024 C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-05 14:00 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] --a--c--- 2005-05-12 00:12 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 12:34 5724184 c:\program files\windows live\messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-09-20 10:51 1836328 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-01 16:57 153136 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RamBoostXp] --a------ 2004-03-09 23:48 1542144 C:\Program Files\RamBoost XP ambxpfr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower] --a------ 2007-01-03 19:38 49152 C:\WINDOWS\system32\SiSPower.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkwatAutoconnect] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a--c--- 2007-01-03 19:26 57344 C:\WINDOWS\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2004-12-20 20:41 33792 C:\Program Files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsService] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsUpdate] C:\WINDOWS\system32\jnmganqi.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Soulseek\slsk.exe"= "C:\Program Files\BitComet\BitComet.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\DNA\btdna.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "18937:TCP"= 18937:TCP:BitComet 18937 TCP "18937:UDP"= 18937:UDP:BitComet 18937 UDP R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-05-02 11:49] R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-05-02 07:59:15 C:\WINDOWS\Tasks\Nettoyage de disque.job" - C:\WINDOWS\system32\cleanmgr.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-02 12:58:04 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... ************************************************************************** . Temps d'accomplissement: 2008-05-02 13:00:39 ComboFix-quarantined-files.txt 2008-05-02 10:59:34 ComboFix2.txt 2008-05-02 10:25:44 Pre-Run: 53,706,108,928 octets libres Post-Run: 53,700,194,304 octets libres 184 --- E O F --- 2008-04-13 18:37:27

ludsfa · Answer

bien refais une analyse avec antivir mais en mode sans echec et envois moi le rapport.

Tu peux faire delete quand il trouvera un virus.

comment démarrer en mode sans échec:
http://forum.telecharger.01net.com/forum/

alex37190 · Answer

Ok c'est en train de se faire 
J'ai une question mais elle est Hors charte , puis je te la poser en MP ?

ludsfa · Answer

no soucis.

alex37190 · Answer

voici le log antivir en mode sans echec 



Avira AntiVir Personal
Report file date: vendredi 2 mai 2008  13:39

Scanning for 1246006 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Boot mode:        Save mode
Username:         Propriétaire
Computer name:    ACER

Version information:
BUILD.DAT     : 8.1.00.295      16479 Bytes  09/04/2008 16:24:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes  20/04/2008 16:11:03
AVSCAN.DLL    : 8.1.1.0         53505 Bytes  20/04/2008 16:11:03
LUKE.DLL      : 8.1.2.9        151809 Bytes  20/04/2008 16:11:03
LUKERES.DLL   : 8.1.2.1         12033 Bytes  20/04/2008 16:11:03
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18/07/2007 14:27:15
ANTIVIR1.VDF  : 7.0.3.2       5447168 Bytes  07/03/2008 13:34:33
ANTIVIR2.VDF  : 7.0.3.197     1260032 Bytes  22/04/2008 16:02:43
ANTIVIR3.VDF  : 7.0.3.236      249344 Bytes  01/05/2008 16:00:03
Engineversion : 8.1.0.37  
AEVDF.DLL     : 8.1.0.5        102772 Bytes  20/04/2008 16:11:04
AESCRIPT.DLL  : 8.1.0.28       233851 Bytes  30/04/2008 16:02:24
AESCN.DLL     : 8.1.0.15       119157 Bytes  30/04/2008 16:02:14
AERDL.DLL     : 8.1.0.20       418165 Bytes  25/04/2008 16:02:26
AEPACK.DLL    : 8.1.1.4        364918 Bytes  29/04/2008 16:00:33
AEOFFICE.DLL  : 8.1.0.18       192890 Bytes  20/04/2008 16:11:04
AEHEUR.DLL    : 8.1.0.21      1196407 Bytes  30/04/2008 16:02:04
AEHELP.DLL    : 8.1.0.14       115063 Bytes  20/04/2008 16:11:04
AEGEN.DLL     : 8.1.0.18       299381 Bytes  25/04/2008 16:02:03
AEEMU.DLL     : 8.1.0.5        430450 Bytes  20/04/2008 16:11:04
AECORE.DLL    : 8.1.0.27       168310 Bytes  20/04/2008 16:11:04
AVWINLL.DLL   : 1.0.0.7         14593 Bytes  20/04/2008 16:11:03
AVPREF.DLL    : 8.0.0.1         25857 Bytes  20/04/2008 16:11:03
AVREP.DLL     : 7.0.0.1        155688 Bytes  16/04/2007 13:16:24
AVREG.DLL     : 8.0.0.0         30977 Bytes  20/04/2008 16:11:03
AVARKT.DLL    : 1.0.0.23       307457 Bytes  20/04/2008 16:11:02
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  20/04/2008 16:11:02
SQLITE3.DLL   : 3.3.17.1       339968 Bytes  20/04/2008 16:11:04
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  20/04/2008 16:11:03
NETNT.DLL     : 8.0.0.1          7937 Bytes  20/04/2008 16:11:03
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  20/04/2008 16:10:58
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  20/04/2008 16:10:58

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: vendredi 2 mai 2008  13:39

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '27' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\2008\WinRar.V3.71.Final.Fr+Keygen\keygen.exe
      [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.aac.4 Backdoor server programs
      [NOTE]      The file was deleted!
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\SETUP\SETUP.rar
  [0] Archive type: RAR
    --> Radmin_3.0_Final__Vista_Ready by zitoune83.rar
      [1] Archive type: RAR
      --> Radmin_3.0_Final__Vista_Ready by zitoune83\Radmin 3.0 Final, Vista Ready\radmin30\RAD30\Famatech.Radmin.Server.3.0.Trial.Stop.and.Tray.Icon.Remove\R3GOD.DLL
          [DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Radmin.AB.3 Backdoor server programs
      [NOTE]      The file was deleted!


End of the scan: vendredi 2 mai 2008  14:49
Used time:  1:10:12 min

The scan has been done completely.

   4201 Scanning directories
 204023 Files were scanned
      2 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      2 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 204021 Files not concerned
   3016 Archives were scanned
      1 Warnings
      2 Notes

ludsfa · Answer

Bien

as tu encore des soucis?

télécharge ToolsCleaner sur ton pc .
une fois installé tu fais rechercher et ensuite suppression un rapport va être générer envois le moi.

alex37190 · Answer

Non mauis en fait j'avai aucin souci sur ce pc la Loool , c'est juste que Antivir me les a detecter ce matin 
Non j'avai quelques petits trucs embetant qui me semblent être resolus !!




-->- Recherche: 

C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\vundoFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\2008\HJTInstall.exe: trouvé !
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\SETUP\MsnFix: trouvé !
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\SETUP\MSNFix\MsnFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\VirtumundoBeGone.exe: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\vundoFix.exe: supprimé !
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\2008\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Propriétaire\Mes documents\LOGICIELS\SETUP\MsnFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

ludsfa · Answer

oui tu avais une petite infection vundo.

Tu peux mettre résolu 

bon surf à toi.

alex37190 · Answer

--
Aux pays des aveugles , les borgnes sont rois !!

ludsfa · Answer

a+

tiens met ce lien et jette y un œil avant de télécharger un logiciel met le dans tes favoris.

http://www.infos-du-net.com/forum/272222-7-logiciels-eviter

TRojan Vundo

28 réponses

Votre réponse

Discussions similaires

Newsletters