xxywttu.dll Résolu

Question

Bonjour,

J'ai l'antivirus Kaspersky et il a détecté :

File contains adware and cannote be disinfected

Adware : 
not-a-virus:AdWare.Win32.Virtumonde.byl

File :
C:\WINDOWS\system32\xxywttu.dll

Est-ce que je devrais supprimer moi-même ce fichier ou bien il est nécessaire au bon fonctionnement de mon système?

-Shadow- · Answer

ou bien il est nécessaire au bon fonctionnement de mon système?
Houlala, non!

Tu connais pas VirtuMonde?
C'est un espion super dur à enlever!

Missbubble21 · Answer

oh oh...non je ne connais pas...:S

sKe69 · Answer

salut ,
on va s'occuper de cela ... ;)
Commence par ce-ci :
télécharges et instales le logiciel HijackThis : 
 
ftp://ftp.commentcamarche.com/download/HJTInstall.exe

Important :
1-Faire un click droit sur le lien ci-dessus et choisir "enregistrer la cible sous ... " et renommer Hijackthis en "thejack" .

Cliker sur thejack.exe pour lancer l'instale . laisses toi guider et instale le à l'endroit par défaut ( C\: programme file \ ) .
A la fin tu doit avoir un raccouci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .

2-Renommer le prg HijackThis : 
dans "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe", clik droit sur ce dernier et choisis "renommé" : tapes monjack et valide .

tuto pour l’utiliser 
regarde ici c'est parfaitement expliqué en images 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

Déconnectes toi et fermes toute tes applications en cours .

Double clik sur le raccourci du bureau,
Fais un scan monjack (ou HijackThis renommé) et postes le rapport générer pour analyse ...

Missbubble21 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:13:16, on 2008-05-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mrofinu1044.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {cd78890b-4cb5-a7a8-e004-3a1125299630} - {03699252-11a3-400e-8a7a-5bc4b09887dc} - C:\WINDOWS\system32
tdpjxjj.dll
O2 - BHO: (no name) - {D31CEB21-C9E9-4DCE-9F4E-EF6F26059A7A} - C:\WINDOWS\System32\pmnnn.dll
O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\System32\xxywttu.dll
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1044.exe 61A847B5BBF72813329F3C466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [b44c029a] rundll32.exe "C:\WINDOWS\system32\urvfewly.dll",b
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [BMb77f3106] Rundll32.exe "C:\WINDOWS\system32\vsydmwdk.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: xxywttu - C:\WINDOWS\SYSTEM32\xxywttu.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

-Shadow- · Answer

Houla... Y'a plein de virus... 5 au moins...

Mais je laisse ske69 résoudre ce problème puisqu'il s'y est engagé! :)

sKe69 · Answer

bon ... effectivement , c'est chargé ... :/
Télécharger VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

!!Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions. 
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau : postes le et accompagne le d'un nouveau rapport monjack pour analyse ... 

(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

Missbubble21 · Answer

[05/04/2008, 9:23:07] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nathalie\Bureau\VirtumundoBeGone.exe" )
[05/04/2008, 9:23:14] - Detected System Information:
[05/04/2008, 9:23:14] -  Windows Version: 5.1.2600, Service Pack 2
[05/04/2008, 9:23:14] -  Current Username: Nathalie (Admin)
[05/04/2008, 9:23:14] -  Windows is in NORMAL mode.
[05/04/2008, 9:23:14] - Searching for Browser Helper Objects:
[05/04/2008, 9:23:14] -  BHO 1: {03699252-11a3-400e-8a7a-5bc4b09887dc} ()
[05/04/2008, 9:23:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/04/2008, 9:23:14] -  Checking for HKLM\...\Winlogon\Notify
tdpjxjj
[05/04/2008, 9:23:14] -  Key not found: HKLM\...\Winlogon\Notify
tdpjxjj, continuing.
[05/04/2008, 9:23:14] -  BHO 2: {D31CEB21-C9E9-4DCE-9F4E-EF6F26059A7A} ()
[05/04/2008, 9:23:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/04/2008, 9:23:14] -  Checking for HKLM\...\Winlogon\Notify\pmnnn
[05/04/2008, 9:23:14] -  Key not found: HKLM\...\Winlogon\Notify\pmnnn, continuing.
[05/04/2008, 9:23:14] -  BHO 3: {DB0B918E-A0A8-482B-8D75-A682816B0C7B} ()
[05/04/2008, 9:23:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/04/2008, 9:23:14] -  Checking for HKLM\...\Winlogon\Notify\xxywttu
[05/04/2008, 9:23:14] -  Found: HKLM\...\Winlogon\Notify\xxywttu - This is probably Virtumundo.
[05/04/2008, 9:23:14] -  Assigning {DB0B918E-A0A8-482B-8D75-A682816B0C7B} MSEvents Object
[05/04/2008, 9:23:14] - BHO list has been changed! Starting over...
[05/04/2008, 9:23:14] -  BHO 1: {03699252-11a3-400e-8a7a-5bc4b09887dc} ()
[05/04/2008, 9:23:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/04/2008, 9:23:14] -  Checking for HKLM\...\Winlogon\Notify
tdpjxjj
[05/04/2008, 9:23:14] -  Key not found: HKLM\...\Winlogon\Notify
tdpjxjj, continuing.
[05/04/2008, 9:23:14] -  BHO 2: {D31CEB21-C9E9-4DCE-9F4E-EF6F26059A7A} ()
[05/04/2008, 9:23:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/04/2008, 9:23:14] -  Checking for HKLM\...\Winlogon\Notify\pmnnn
[05/04/2008, 9:23:14] -  Key not found: HKLM\...\Winlogon\Notify\pmnnn, continuing.
[05/04/2008, 9:23:14] -  BHO 3: {DB0B918E-A0A8-482B-8D75-A682816B0C7B} (MSEvents Object)
[05/04/2008, 9:23:14] - ALERT: Found MSEvents Object!
[05/04/2008, 9:23:14] - Finished Searching Browser Helper Objects
[05/04/2008, 9:23:14] - *** Detected MSEvents Object
[05/04/2008, 9:23:14] - Trying to remove MSEvents Object...
[05/04/2008, 9:23:15] -    Terminating Process: IEXPLORE.EXE
[05/04/2008, 9:23:15] -    Terminating Process: RUNDLL32.EXE
[05/04/2008, 9:23:16] -    Disabling Automatic Shell Restart
[05/04/2008, 9:23:16] -    Terminating Process: EXPLORER.EXE
[05/04/2008, 9:23:16] -    Suspending the NT Session Manager System Service
[05/04/2008, 9:23:16] -    Terminating Windows NT Logon/Logoff Manager
[05/04/2008, 9:23:16] -    Re-enabling Automatic Shell Restart
[05/04/2008, 9:23:16] -   File to disable: C:\WINDOWS\System32\xxywttu.dll
[05/04/2008, 9:23:16] -  Renaming C:\WINDOWS\System32\xxywttu.dll -> C:\WINDOWS\System32\xxywttu.dll.vir
[05/04/2008, 9:23:16] -  File successfully renamed!
[05/04/2008, 9:23:16] -   Removing HKLM\...\Browser Helper Objects\{DB0B918E-A0A8-482B-8D75-A682816B0C7B}
[05/04/2008, 9:23:16] -   Removing HKCR\CLSID\{DB0B918E-A0A8-482B-8D75-A682816B0C7B}
[05/04/2008, 9:23:16] -   Adding Kill Bit for ActiveX for GUID: {DB0B918E-A0A8-482B-8D75-A682816B0C7B}
[05/04/2008, 9:23:16] -   Deleting ATLEvents/MSEvents Registry entries
[05/04/2008, 9:23:16] -   Removing HKLM\...\Winlogon\Notify\xxywttu
[05/04/2008, 9:23:16] - Searching for Browser Helper Objects:
[05/04/2008, 9:23:16] -  BHO 1: {03699252-11a3-400e-8a7a-5bc4b09887dc} ()
[05/04/2008, 9:23:16] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/04/2008, 9:23:16] -  Checking for HKLM\...\Winlogon\Notify
tdpjxjj
[05/04/2008, 9:23:16] -  Key not found: HKLM\...\Winlogon\Notify
tdpjxjj, continuing.
[05/04/2008, 9:23:16] -  BHO 2: {D31CEB21-C9E9-4DCE-9F4E-EF6F26059A7A} ()
[05/04/2008, 9:23:16] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/04/2008, 9:23:16] -  Checking for HKLM\...\Winlogon\Notify\pmnnn
[05/04/2008, 9:23:16] -  Key not found: HKLM\...\Winlogon\Notify\pmnnn, continuing.
[05/04/2008, 9:23:16] - Finished Searching Browser Helper Objects
[05/04/2008, 9:23:16] - Finishing up...
[05/04/2008, 9:23:16] - A restart is needed.
[05/04/2008, 9:23:30] - Attempting to Restart via STOP error (Blue Screen!)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:25:57, on 2008-05-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mrofinu1044.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {cd78890b-4cb5-a7a8-e004-3a1125299630} - {03699252-11a3-400e-8a7a-5bc4b09887dc} - C:\WINDOWS\system32
tdpjxjj.dll
O2 - BHO: (no name) - {EDF55D01-C287-4B15-A180-02B8E4C00BCE} - C:\WINDOWS\System32\pmnnn.dll
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1044.exe 61A847B5BBF72813329F3C466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [b44c029a] rundll32.exe "C:\WINDOWS\system32\urvfewly.dll",b
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [BMb77f3106] Rundll32.exe "C:\WINDOWS\system32\vsydmwdk.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

sKe69 · Answer

on continue ...
Télécharger Vundofix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

Ce déconnecter et fermer toute ces applications le temps de la manipe .

Double-cliquer sur VundoFix.exe afin de le lancer. 
Cliquer sur le bouton Scan for Vundo. 

Lorsque le scan est complété, cliquer sur le bouton fix Vundo. 

Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES 

Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer. 

Le contenu du rapport est situé dans C:\vundofix.txt : postes ce rapport avec aussi un nouveau rapport mojack pour annalyse .

Missbubble21 · Answer

VundoFix V7.0.3

Scan started at 09:34:24 2008-05-04

Listing files found while scanning....

C:\WINDOWS\system32\vsydmwdk.dll

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\vsydmwdk.dll
C:\WINDOWS\system32\vsydmwdk.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\vsydmwdk.dll
C:\WINDOWS\system32\vsydmwdk.dll Has been deleted!

Performing Repairs to the registry.
Done!




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:51:23, on 2008-05-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\mrofinu1044.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {cd78890b-4cb5-a7a8-e004-3a1125299630} - {03699252-11a3-400e-8a7a-5bc4b09887dc} - C:\WINDOWS\system32
tdpjxjj.dll
O2 - BHO: (no name) - {EDCA524F-C29E-4417-B5F9-AC715924DE06} - C:\WINDOWS\System32\pmnnn.dll
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1044.exe 61A847B5BBF72813329F3C466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [b44c029a] rundll32.exe "C:\WINDOWS\system32\urvfewly.dll",b
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [BMb77f3106] Rundll32.exe "C:\WINDOWS\system32\vsydmwdk.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

Missbubble21 · Answer

Puis quand l'ordi a redémarré, un boîte m'a apparue en me disant 
RUNDLL
Erreur de chargement de C:\WINDOWS\system32\vsydmwdk.dll
Le module spécifié est introuvable

sKe69 · Answer

c'est normal ... on est entrain de faire du gros ménage .. ;)

c'est loin d'être terminé, voilà la suite des opérations :

Télécharger ComboFix (par sUBs) sur le Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Démarrer en mode sans echec : 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)

Double cliquer combofix.exe. 

Appuyer sur la touche Y (Yes) pour démarrer le scan 
Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Le rapport sera crée dans: C:\Combofix.txt 

Redémarre ton PC ( mode normal )
Postes le rapport combo fix et un nouveau rapport monjack pour une nouvelle analyse ...

Missbubble21 · Answer

ComboFix 08-05-01.3 - Nathalie 2008-05-04 10:07:24.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1049 [GMT -4:00]
Endroit: C:\Documents and Settings\Nathalie\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\stem~1
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\nnnmp.ini
C:\WINDOWS\system32\nnnmp.ini2
C:\WINDOWS\system32\ntdpjxjj.dll
C:\WINDOWS\system32\pmnnn.dll
C:\WINDOWS\system32\urvfewly.dll
C:\WINDOWS\system32\ylwefvru.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-04 to 2008-05-04 ))))))))))))))))))))))))))))))))))))
.

2008-05-04 10:03 . 2008-05-04 10:03 268 --ah----- C:\sqmdata02.sqm
2008-05-04 10:03 . 2008-05-04 10:03 244 --ah----- C:\sqmnoopt02.sqm
2008-05-04 09:46 . 2008-05-04 09:46 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-05-04 09:34 . 2008-05-04 09:45 <REP> d-------- C:\VundoFix Backups
2008-05-04 09:20 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-04 09:20 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-05-04 09:20 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-04 09:10 . 2008-05-04 09:10 <REP> d-------- C:\Program Files\Trend Micro
2008-05-04 08:39 . 2008-05-04 08:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-05-04 08:39 . 2008-05-04 08:39 268 --ah----- C:\sqmdata01.sqm
2008-05-04 08:39 . 2008-05-04 08:39 244 --ah----- C:\sqmnoopt01.sqm
2008-05-04 08:19 . 2008-05-04 08:44 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-05-04 08:19 . 2008-05-04 08:44 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-05-04 08:18 . 2008-05-04 08:18 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-05-04 08:18 . 2008-05-04 10:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-05-04 08:18 . 2008-05-04 10:02 150,560 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-04 08:18 . 2008-05-04 10:01 6,432 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-04 08:18 . 2008-05-04 09:46 2,804 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-04 08:18 . 2008-05-04 09:46 1,604 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-04 08:17 . 2008-05-04 08:17 <REP> d-------- C:\kav
2008-05-04 08:17 . 2004-11-02 09:04 167,936 --a------ C:\WINDOWS\system32\igfxres.dll
2008-05-04 08:02 . 2008-05-04 08:09 109,783 --a------ C:\WINDOWS\BMb77f3106.xml
2008-05-04 08:01 . 2008-05-04 08:01 <REP> d-------- C:\hp
2008-05-04 07:54 . 2008-05-04 07:54 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-04 07:54 . 2008-05-04 07:54 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
2008-05-04 07:54 . 2004-09-20 15:20 16,121,856 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL
2008-05-04 07:34 . 2008-05-04 08:00 <REP> d-------- C:\Pilotes pour SR1210NX
2008-05-03 18:42 . 2008-05-03 18:42 268 --ah----- C:\sqmdata00.sqm
2008-05-03 18:42 . 2008-05-03 18:42 244 --ah----- C:\sqmnoopt00.sqm
2008-05-03 17:30 . 2008-05-03 17:30 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-05-03 16:40 . 2008-05-03 16:40 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-03 16:37 . 2007-07-09 09:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-05-03 16:34 . 2008-05-03 16:39 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-05-03 16:33 . 2008-05-03 16:39 <REP> d-------- C:\Program Files\Windows Live
2008-05-03 16:32 . 2008-05-03 16:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-05-03 15:41 . 2008-05-04 07:27 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-05-03 15:26 . 2008-05-03 15:26 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2008-05-03 15:25 . 2008-05-03 15:25 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-05-03 15:18 . 2008-05-03 15:26 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-05-03 15:16 . 2008-05-03 15:16 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-05-03 15:14 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\[u]0[/u]02109_.tmp
2008-05-03 15:13 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-03 15:12 . 2008-05-03 15:12 <REP> d-------- C:\WINDOWS\EHome
2008-05-03 14:48 . 2004-08-19 16:09 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2008-05-03 14:38 . 2008-05-04 10:03 37,376 --a------ C:\WINDOWS\mrofinu1044.exe
2008-05-03 14:38 . 2008-05-03 14:32 5,376 --a------ C:\WINDOWS\system32\antiwpa.dll
2008-05-03 14:37 . 2008-05-03 14:37 40,448 --a------ C:\WINDOWS\system32\xxywttu.dll.vir
2008-05-03 14:03 . 2008-05-03 14:03 <REP> d-------- C:\Program Files\Azureus
2008-05-03 14:03 . 2008-05-04 08:40 <REP> d-------- C:\Documents and Settings\Nathalie\Application Data\Azureus
2008-05-03 14:03 . 2008-05-03 14:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
2008-05-03 14:00 . 2008-05-04 09:06 <REP> d-------- C:\Programmes
2008-05-03 08:32 . 2004-08-19 16:09 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-05-03 08:32 . 2004-08-19 15:54 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-05-03 08:32 . 2004-08-19 16:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-05-03 08:32 . 2004-08-03 22:31 20,992 --a------ C:\WINDOWS\system32\drivers\rtl8139.sys
2008-05-03 08:32 . 2001-08-17 16:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-05-03 08:30 . 2008-05-04 10:11 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-03 08:30 . 2008-05-03 08:30 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
2008-05-03 08:30 . 2008-05-03 08:30 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2008-05-03 08:30 . 2008-05-03 13:36 <REP> d--h----- C:\Documents and Settings\Default User\ModŠles
2008-05-03 08:30 . 2008-05-03 08:30 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
2008-05-03 08:30 . 2008-05-03 08:30 <REP> dr------- C:\Documents and Settings\Default User\Menu D‚marrer
2008-05-03 08:30 . 2008-05-03 08:30 <REP> d-------- C:\Documents and Settings\Default User\Favoris
2008-05-03 08:30 . 2008-05-03 08:30 <REP> d-------- C:\Documents and Settings\Default User\Bureau
2008-05-03 08:30 . 2008-05-03 08:30 <REP> d--h----- C:\Documents and Settings\All Users\ModŠles
2008-05-03 08:30 . 2008-05-03 15:18 <REP> dr------- C:\Documents and Settings\All Users\Menu D‚marrer
2008-05-03 08:30 . 2008-05-03 08:30 <REP> d-------- C:\Documents and Settings\All Users\Favoris
2008-05-03 08:30 . 2008-05-03 13:38 <REP> dr------- C:\Documents and Settings\All Users\Documents
2008-05-03 08:30 . 2008-05-04 09:22 <REP> d-------- C:\Documents and Settings\All Users\Bureau

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 17:40 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-03 17:37 --------- d-----w C:\Program Files\Services en ligne
2008-02-08 22:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 13:47 57344 C:\WINDOWS\ALCXMNTR.EXE]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-11-02 09:03 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-11-02 08:59 126976]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]
"BMb77f3106"="C:\WINDOWS\system32\vsydmwdk.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]
antiwpa.dll 2008-05-03 14:32 5376 C:\WINDOWS\system32\antiwpa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\kav\\kav7\\setup.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 10:11:35
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-04 10:15:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-04 14:14:00

Pre-Run: 70,099,398,656 octets libres
Post-Run: 70,111,326,208 octets libres

144 --- E O F --- 2008-05-03 21:34:57

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:29, on 2008-05-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [BMb77f3106] Rundll32.exe "C:\WINDOWS\system32\vsydmwdk.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

sKe69 · Answer

on continue ( encore et encore ... )
1-Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
 
clic double sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 

C:\WINDOWS\system32\xxywttu.dll.vir 
C:\WINDOWS\system32\vsydmwdk.dll

et colles-la dans le cadre de gauche de OTMoveIt2 : 
Paste standard List of Files/Folders to be moved.
 
cliques sur MoveIt! pour lancer la suppression. 
le résultat apparaîtra dans le cadre Results.
 
cliques sur Exit pour fermer. 
postes le rapport situé dans C:\\_OTMoveIt\MovedFiles. 

il te sera peut-être demandé de redémarrer le pc pour achever la suppression. 
si c'est le cas acceptes par "Yes".

2- Télécharge MSNFix.zip (de !aur3n7) sur ton bureau : http://sosvirus.changelog.fr/MSNFix.zip 
Décompresse-le (clic droit >> Extraire ici) et place les fichiers dans C:\MSNFix (très important). 
Double-cliquer sur le fichier MSNFix.bat. 
- Exécutez l'option R. 
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage. 

Note : 
-Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal 

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt 
postes ce rapport si il y a infection dans ta prochaine réponse ...

sKe69 · Answer

peut-tu me poster un nouveau scan monjack pour contrôle ...
Dis moi aussi au passage si il y a du mieux au niveau de ton PC .

sKe69 · Answer

Fermes toutes tes applications et déconnectes toi .

1-Relance Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas clické sur les carré des lignes suivantes : 

O4 - HKLM\..\Run: [BMb77f3106] Rundll32.exe "C:\WINDOWS\system32\vsydmwdk.dll",s 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 

Tu cliques en bas sur le bouton FIX CHECKED et valides .

2-Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .lors de l'instalation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" saufe les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

Utilisation:
vas dans nettoyeur : fait annalyse puis nettoyage 
et vas dans registre : fait chercher les erreurs et réparer ( plusieur fois jusqu'a ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

Redémarre ton PC 

refait moi un topo sur les diférents soucis qu tu constates éventuellement sur ton PC et refait un scan monjack pour une dernière analyse ...

sKe69 · Answer

Donc essaye ce-ci :

Télécharge 
SDFix sur ton bureau 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe. 

* Double clique sur SDFix.exe et choisis "Install"

* Redémarre en mode sans échec. 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. 
--->Tape Y pour lancer le script. 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse .

Utilisateur anonyme · Answer

Salut TLM ,,

http://www.commentcamarche.net/forum/affich 6248494 xxywttu dll#16  <- Il reste des infections dans le log Combofix.

+++

Utilisateur anonyme · Answer

Pas de soucis  ^^ 


Y des clés de registre infectés  ;;)))

C'est pour ça que cette ligne :

O4 - HKLM\..\Run: [BMb77f3106] Rundll32.exe "C:\WINDOWS\system32\vsydmwdk.dll",s 

était toujours présente.

Si tu veux de l'aide pour virer les clés ..
+++

Missbubble21 · Answer

[b]SDFix: Version 1.179 [/b]
Run by Nathalie on 2008-05-04 at 12:41

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Nathalie\Bureau\SDFix\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 12:46:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\kav\kav7\setup.exe"="C:\kav\kav7\setup.exe:*:Enabled:Kaspersky Anti-Virus 7.0 Setup"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe:*:Enabled:Kaspersky Anti-Virus"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\Nathalie\Bureau\SDFix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sun  4 May 2008           400 A.SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.bla.bak"
Sun  4 May 2008            48 A.SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.sec.bak"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\02970179a133da43483e5e8495d03f51\download\BIT97.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\06119f7f007fbf3388fb7f012fd2ce49\download\BITB5.tmp"
Tue 20 Nov 2007        18,846 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0736b9819d78ce6fd28d7a44be52cc29\download\BIT57.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\09d89c4f86a37cea40e36ccd20da027b\download\BITA4.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\126216e1ea5a965d65b4b02390ca8357\download\BIT9A.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\12c9c7b74d009cd8f751411d54cc4b11\download\BITAB.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\171d2120022f92869484c921d3263cc3\download\BIT98.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\302e1056006644b6630bcb41e5969ade\download\BIT95.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3887d65d3ab5fa0d45001f504bed5b37\download\BITB2.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\428a8e1b8036b8225440fd6ce9cf9a62\download\BITAC.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4c5c888ff189ce65af20cc141b13bcd3\download\BIT9D.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4febda7b78da8f94eaee96a8b432d591\download\BITA1.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\50b1dbf091e5ad2003668acab0cb3bc0\download\BIT96.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5cbce544ba5a58e170acdb52973e4471\download\BITAD.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5f7e6ca31b0549017e70d2963c0f01bb\download\BITB1.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\61cb8cabb47496dec6d7e4c842c3b827\download\BITA5.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6c75180874e00b1d103af2b8b2b3b170\download\BITA6.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\72480a427b1c43ed1a1d42cac8cadfc7\download\BITB3.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\773244b80a35d887f4682727f34cdcce\download\BIT9B.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7bd07c1089c2af7712a37e4bc06b52c1\download\BITB6.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\84db8362c64a1369b93bd1a60a67cb01\download\BITB4.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8cf13444ad5b33cad5e4b774633810f9\download\BITB8.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d31f6e93a03bc7a736602ed1adb9986\download\BITA9.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\90eded57e7780b832eed3339a922a322\download\BITA2.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\98e4ab2cb14986b0be91146bef7a2943\download\BITB7.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a78c97e54f3a7c1c82e54fdeb17c971b\download\BITB0.tmp"
Fri 28 Jul 2006        29,333 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\abca9e2bf0dd5e18df937d2b7f598387\download\BIT81.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b81252ef70e0d4f53d4fb43336030927\download\BIT8E.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b848f7bbcc1590afa157f879b74964b2\download\BITA0.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c8378ccca1581319d7b7f3a9d1188607\download\BITA3.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cb942767c499e4e5e870a77375906298\download\BITA8.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d983f6bace749011714a05db9ad756fb\download\BITAE.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d9a5b0653e225e7928dc354755296ea7\download\BITA7.tmp"
Fri  2 Jun 2006       204,282 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e17d2630592b6b8b86888b3ce879a3ab\download\BIT6C.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb96ceab77261e76cdbe943d8cf8e4cc\download\BIT9C.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb9fda4f2f8a691ab294ebfcbb58c737\download\BIT99.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ec9dc63e53c8bf9a1e80cf1489c682bd\download\BITAA.tmp"
Sat  3 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\edf770ea565c428bca41a4befcabb97b\download\BITAF.tmp"

[b]Finished![/b]

sKe69 · Answer

On va procéder autrement ...
Télécharge MalewareBit : ftp://ftp.commentcamarche.com/download/mbam-setup.exe 
un tuto sympa : https://forum.pcastuces.com/sujet.asp?f=31&s=3 

instales et mets le à jour . 

Puis redémarre en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

Lances un scan dit "complet" et suprimes tout ce qu'il peut trouver ... 
Un fichier texte s'ouvre à la fin du scan : sauvegardes le sur ton bureau . 
Redémarre ton PC (mode normal ). 
Postes le rapport sauvegardé .

sKe69 · Answer

OK ... un fois le scan Malwarbytes finis et son rapport poster pour analyse,
Fais exactement ce qui suis :

1-Crée un doc texte sur ton bureau :
pointe ta souri sur ton bureau , click droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de crée :

File:: 
C:\WINDOWS\BMb77f3106.xml 
C:\WINDOWS\mrofinu1044.exe 
C:\WINDOWS\system32\antiwpa.dll 


Folder:: 
C:\VundoFix Backups 

Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"AlcxMonitor"=- 
"BMb77f3106"=- 
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\Antiwpa] 

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript 

2-Ensuite clik sur le doc CFScript et fait le glisser sur l'icone de Combofix : cette manipulation va relancer combofix .

Laisses faire et postes le nouveau rapport combofix généré ( sous C/:) dans ta prochaine réponse ...

sKe69 · Answer

malwarebytes OK ...
Fais bien la manipe du poste 34 maintenant .

sKe69 · Answer

Bien ...
refait un coup de CCleaner comme tout à l'heure (registre compris ) et dis nous ce que cela donne ...

sKe69 · Answer

C'est quoi cette version de Windows ???

sKe69 · Answer

Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe 
Clique sur Recherche et laisse le scan se terminer. 
Clique sur Suppression pour finaliser. 
tu peux, si tu le souhaites, te servir des Options facultatives 

se petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . 

Puis enfin supprimes Toolscleaner2 ...

Ensuite lance un scan avec ton Anti-vir en mode sans échec, met en quarantaine tout ce qu'il peut trouver et postes le rapport si il n'est pas vierge ...

Utilisateur anonyme · Answer

Re ,

Avant de partir fait ça ;))

******

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créer un point de restauration sain...

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique patiente jusqu’à ce que cela soit marqué "désactivé" puis Ok.

Activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur.




Bon surf'
+++

Xxywttu.dll

26 réponses

Votre réponse

Newsletters