Ordi infecté ! J'ai besoin d'aide...

ginie -
laboube - 22 févr. 2011 à 14:47

Bonjour,

Voilà mon ordi est infecté et je ne sais pas comment faire pour me débarasser de ces virus étant donné que je suis loin d'être experte en informatique.

Il rame, plante, des pages de pub s'ouvrent dès que je suis sur le net (une page en particulier : page vide avec cette adresse : http://85.12.43.98/www/delivery/afr.php?n=a7b11b84&zoneid=59 ...

J'ai installé avast qui me signale un cheval de troie appelé win32 : trojan-gen mais même en le supprimant j'ai toujours des problèmes.

J'ai exécuté vundofix pour voir si l'ordi n'était pas infecté par un vundo / virtumonde, mais rien n'a été trouvé.

Et quand je fait le scan avec hijacthis j'y comprends rien et j'ai peur de faire des bêtises.

Je vous mets le log d'hijacthis, si quelqu'un peut m'aider ce serait super.

Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18:16, on 19/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 7300 Series\lxcimon.exe
C:\Program Files\Lexmark 7300 Series\ezprint.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\lxcicoms.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Documents and Settings\BEBE\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {64C4C067-31DD-4406-9CAF-CEEFDC99E7DC} - C:\WINDOWS\System32\yayyawuv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {31fc0756-e0fb-5d68-0184-ceb35b57f288} - {882f75b5-3bec-4810-86d5-bf0e6570cf13} - C:\WINDOWS\System32\ssdvmejm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D39D9BCD-0CCF-4445-AFCA-755A72E3C94F} - C:\WINDOWS\System32\vtuspqro.dll (file missing)
O2 - BHO: (no name) - {D5FD78F2-469C-40D0-9DFA-805070509189} - C:\WINDOWS\System32\awtronkj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [wa6pcw] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\wa6pcw.exe" -c
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,RunDLLEntry
O4 - HKLM\..\Run: [lxcimon.exe] "C:\Program Files\Lexmark 7300 Series\lxcimon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 7300 Series\ezprint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [c4d42fd6] rundll32.exe "C:\WINDOWS\System32\yuxjymbd.dll",b
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2802] "C:\WINDOWS\Downloaded Program Files\UGA6P_0001_N122M2802NetInstaller.exe"
O4 - HKLM\..\Run: [BMc7e71c4a] Rundll32.exe "C:\WINDOWS\System32\fretxdof.dll",s
O4 - HKLM\..\RunOnce: [overinstall] "C:\Program Files\AntiSpywareMaster\pgs.exe" /empty
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.line6.net
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O20 - Winlogon Notify: awtronkj - C:\WINDOWS\SYSTEM32\awtronkj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxci_device - - C:\WINDOWS\System32\lxcicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Afficher la suite

A voir également:

Ordi infecté ! J'ai besoin d'aide...
Ordi qui rame - Guide
Comment reinitialiser un ordi - Guide
Ordi scrabble - Télécharger - Jeux vidéo
Mon ordi ne reconnait pas ma clé usb - Guide
Ecran ordi a l'envers - Guide

11 réponses

Réponse 1 / 11

eZula Messages postés 3509 Statut Contributeur 392

Bonjour,

télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

ginie

Merci de répondre si rapidement, j'ai fait ce que tu m'as dis et j'ai le rapport suivant :
Rapport GenProc 1.962 [1] effectué le 19/05/2008 à 18:45:51,25 - Windows XP

# Etape 1/ Télécharge :

- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le sur ton bureau. Fais un clic droit de souris sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu et choisis "Enregistrer la cible (du lien) sous" afin de télécharger le script WinSoftware.bfu que tu placeras à côté de l'icône en forme de boule noire dentée bfu.exe.

- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par [b]sUBs/b) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.

***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "BEBE") *****

# Etape 2/

Double-clique sur le fichier BFU.exe en forme de boule noire dentée, sur ton bureau. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptfile to execute", et double-clique sur le fichier Winsoftware.bfu qui devrait apparaître.
- Dans la boîte "Script to execute", tu devrais maintenant voir le chemin complet du fichier Winsoftware.bfu, clique sur "Execute" et laisse-le faire son travail. La réussite de l'opération sera obligatoirement sanctionnée par un message final "Complete script execution", si ce n'est pas le cas, il faudra le signaler. Clique sur OK, puis exit pour fermer le programme BFU.
Recommence encore une fois.

# Etape 3/

* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

* Double clique [b]combofix.exe/b.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra

# Etape 4/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 5/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 6/

Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le contenu du rapport MSNfix situé sur le Bureau ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

ginie

J'ai suivi la procédure complète, je te mets les rapports ci-dessous. Apparement j'ai toujours les mêmes problèmes, dès que je vais sur le net soit ça bug soit j'ai un tas de pubs ...

Hijacthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09, on 2008-05-19
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 7300 Series\lxcimon.exe
C:\Program Files\Lexmark 7300 Series\ezprint.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\lxcicoms.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\BEBE\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {6d4968f5-aa8b-6b0b-7ab4-7206a5c50f99} - {99f05c5a-6027-4ba7-b0b6-b8aa5f8694d6} - C:\WINDOWS\System32\htjuvbff.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D39D9BCD-0CCF-4445-AFCA-755A72E3C94F} - C:\WINDOWS\System32\vtuspqro.dll (file missing)
O2 - BHO: (no name) - {D790502A-EB0B-46B7-BDF5-10C097B4EF28} - C:\WINDOWS\System32\yayyawuv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,RunDLLEntry
O4 - HKLM\..\Run: [lxcimon.exe] "C:\Program Files\Lexmark 7300 Series\lxcimon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 7300 Series\ezprint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [BMc7e71c4a] Rundll32.exe "C:\WINDOWS\System32\evwicfed.dll",s
O4 - HKLM\..\Run: [c4d42fd6] rundll32.exe "C:\WINDOWS\System32\gxcqdrey.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.line6.net
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxci_device - - C:\WINDOWS\System32\lxcicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

Réponse 2 / 11

eZula Messages postés 3509 Statut Contributeur 392

Ton message n'apparait pas, pourtant je l'ai reçu en mail. Suis donc cette procédure :

Rapport GenProc 1.962 [1] effectué le 19/05/2008 à 18:45:51,25 - Windows XP

# Etape 1/ Télécharge :

- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le sur ton bureau. Fais un clic droit de souris sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu et choisis "Enregistrer la cible (du lien) sous" afin de télécharger le script WinSoftware.bfu que tu placeras à côté de l'icône en forme de boule noire dentée bfu.exe.

- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

- combofix.exe (par [b]sUBs/b) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.

***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "BEBE") *****

# Etape 2/

Double-clique sur le fichier BFU.exe en forme de boule noire dentée, sur ton bureau. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptfile to execute", et double-clique sur le fichier Winsoftware.bfu qui devrait apparaître.
- Dans la boîte "Script to execute", tu devrais maintenant voir le chemin complet du fichier Winsoftware.bfu, clique sur "Execute" et laisse-le faire son travail. La réussite de l'opération sera obligatoirement sanctionnée par un message final "Complete script execution", si ce n'est pas le cas, il faudra le signaler. Clique sur OK, puis exit pour fermer le programme BFU.
Recommence encore une fois.

# Etape 3/

* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

* Double clique [b]combofix.exe/b.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra

# Etape 4/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

# Etape 5/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 6/

Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le contenu du rapport MSNfix situé sur le Bureau ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

Réponse 3 / 11

eZula Messages postés 3509 Statut Contributeur 392

OK laisse tomber le message précédent, il a mis un temps fou à s'afficher.

lance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :

O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2malware-scan.com/setup/webinst_fr.cab

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\system32\dbmyjxuy.ini
C:\WINDOWS\system32\yuxjymbd.dll
C:\WINDOWS\system32\ssdvmejm.dll
C:\WINDOWS\system32\fretxdof.dll
C:\WINDOWS\system32\tvyuumse.dll
C:\WINDOWS\system32\vmlkabcs.dll
C:\WINDOWS\system32\dnurjomo.dll
C:\WINDOWS\system32\piipsjbh.dll
C:\WINDOWS\system32\yayyawuv.dll
C:\WINDOWS\system32\ocbevyrq.dll
C:\WINDOWS\system32\wqowfuuc.dll
C:\WINDOWS\system32\kvmnfalr.dll
C:\WINDOWS\system32\dnqntriv.dll
C:\WINDOWS\system32\yqtsdbka.dll
C:\WINDOWS\BMc7e71c4a.xml
C:\WINDOWS\system32\ypgghcac.dll
C:\WINDOWS\System32\vtuspqro.dll
C:\WINDOWS\System32\fretxdof.dll
C:\WINDOWS\System32\yuxjymbd.dll
C:\WINDOWS\web\related.htm

Folder::
C:\VundoFix Backups

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{64C4C067-31DD-4406-9CAF-CEEFDC99E7DC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{882f75b5-3bec-4810-86d5-bf0e6570cf13}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D39D9BCD-0CCF-4445-AFCA-755A72E3C94F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"c4d42fd6"=-
"BMc7e71c4a"=
[HKEY_CURRENT_USER\software\microsoft\internet explorer\extensions\cmdmapping]
"{c95fe080-8f5d-11d2-a20b-00aa003c157a}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}]

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
[*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) ,[b] tape 1/b puis valide.
[*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu en précisant comment évolue la situation

[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

ginie

Voici le nouveau log de ComboFix :
ComboFix 08-05-15.3 - BEBE 2008-05-19 20:47:00.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.561 [GMT 2:00]
Endroit: C:\Documents and Settings\BEBE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\BEBE\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\BMc7e71c4a.xml
C:\WINDOWS\system32\dbmyjxuy.ini
C:\WINDOWS\system32\dnqntriv.dll
C:\WINDOWS\system32\dnurjomo.dll
C:\WINDOWS\System32\fretxdof.dll
C:\WINDOWS\system32\fretxdof.dll
C:\WINDOWS\system32\kvmnfalr.dll
C:\WINDOWS\system32\ocbevyrq.dll
C:\WINDOWS\system32\piipsjbh.dll
C:\WINDOWS\system32\ssdvmejm.dll
C:\WINDOWS\system32\tvyuumse.dll
C:\WINDOWS\system32\vmlkabcs.dll
C:\WINDOWS\System32\vtuspqro.dll
C:\WINDOWS\system32\wqowfuuc.dll
C:\WINDOWS\system32\yayyawuv.dll
C:\WINDOWS\system32\ypgghcac.dll
C:\WINDOWS\system32\yqtsdbka.dll
C:\WINDOWS\system32\yuxjymbd.dll
C:\WINDOWS\System32\yuxjymbd.dll
C:\WINDOWS\web\related.htm
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\BEBE\err.log
C:\VundoFix Backups
C:\WINDOWS\BMc7e71c4a.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\dbmyjxuy.ini
C:\WINDOWS\system32\dnqntriv.dll
C:\WINDOWS\system32\dnurjomo.dll
C:\WINDOWS\system32\fretxdof.dll
C:\WINDOWS\system32\kvmnfalr.dll
C:\WINDOWS\system32\ocbevyrq.dll
C:\WINDOWS\system32\piipsjbh.dll
C:\WINDOWS\system32\ssdvmejm.dll
C:\WINDOWS\system32\tvyuumse.dll
C:\WINDOWS\system32\vmlkabcs.dll
C:\WINDOWS\system32\vuwayyay.ini
C:\WINDOWS\system32\vuwayyay.ini2
C:\WINDOWS\system32\wqowfuuc.dll
C:\WINDOWS\system32\yayyawuv.dll
C:\WINDOWS\system32\yerdqcxg.ini
C:\WINDOWS\system32\ypgghcac.dll
C:\WINDOWS\system32\yqtsdbka.dll
C:\WINDOWS\System32\yuxjymbd.dll
C:\WINDOWS\web\related.htm

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
.

2008-05-19 20:49 . 2008-05-19 20:49 109,807 --a------ C:\WINDOWS\BMc7e71c4a.xml
2008-05-19 20:11 . 2008-05-19 20:11 2,560 --a------ C:\WINDOWS\system32\jqfxjwhb.exe
2008-05-19 20:09 . 2008-05-19 20:09 94,208 --a------ C:\WINDOWS\system32\gxcqdrey.dll
2008-05-19 20:07 . 2008-05-19 20:07 117,760 --a------ C:\WINDOWS\system32\htjuvbff.dll
2008-05-19 20:07 . 2008-05-19 20:07 109,056 --a------ C:\WINDOWS\system32\evwicfed.dll
2008-05-19 18:59 . 2008-05-19 18:59 <REP> d-------- C:\Program Files\CCleaner
2008-05-19 16:10 . 2005-06-15 02:17 427,520 --a------ C:\WINDOWS\WRServices.dll
2008-05-19 16:03 . 2001-03-08 19:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-05-17 10:16 . 2002-08-29 01:27 38,528 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
2008-05-17 10:16 . 2002-08-29 01:27 38,528 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
2008-05-17 00:17 . 2008-05-17 00:17 <REP> d-------- C:\Program Files\Alwil Software
2008-05-17 00:03 . 2008-05-17 00:03 <REP> d-------- C:\Program Files\Lavasoft
2008-05-17 00:03 . 2008-05-17 00:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-17 00:02 . 2008-05-17 00:02 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-16 23:58 . 2008-05-16 23:58 118,784 --a------ C:\WINDOWS\system32\gqebitsy.dll
2008-05-16 23:55 . 2008-05-16 23:55 <REP> d-------- C:\Program Files\Trend Micro
2008-05-16 23:25 . 2008-05-16 23:51 2,128 --a------ C:\WINDOWS\wininit.ini
2008-05-16 23:07 . 2008-05-17 00:13 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-16 23:07 . 2008-05-17 00:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-09 18:31 . 2008-05-09 18:31 <REP> d-------- C:\Documents and Settings\BEBE\Application Data\Ahead
2008-05-08 23:06 . 2008-05-10 22:10 71,527 --a------ C:\WINDOWS\Explorer.dmp
2008-04-28 19:18 . 2008-04-28 19:18 <REP> d-------- C:\Documents and Settings\BEBE\Application Data\Ableton
2008-04-28 19:18 . 2008-04-28 19:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ableton
2008-04-28 18:50 . 2008-04-04 18:40 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2008-04-28 18:49 . 2008-04-28 18:49 <REP> d-------- C:\Program Files\Ableton
2008-04-24 17:54 . 2006-03-30 17:39 368,640 --a------ C:\WINDOWS\system32\ReWire.dll
2008-04-24 17:53 . 2008-05-16 11:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Tracktion 3
2008-04-24 15:41 . 2002-08-29 01:32 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-04-24 15:41 . 2002-08-29 01:32 57,856 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2008-04-24 15:40 . 2008-04-24 15:40 370 --a------ C:\WINDOWS\GearBox.ini
2008-04-24 15:27 . 2008-03-22 00:01 521,088 --a------ C:\WINDOWS\system32\drivers\L6TPortGX.sys
2008-04-24 15:27 . 2008-03-22 00:01 167,936 --a------ C:\WINDOWS\system32\L6tpgx.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 18:34 --------- d-----w C:\Program Files\Lx_cats
2008-05-19 12:27 --------- d-----w C:\Program Files\Fichiers communs\ErreurChasseur
2008-05-16 20:01 --------- d-----w C:\Program Files\Logitech
2008-05-15 15:37 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-15 15:36 --------- d-----w C:\Documents and Settings\BEBE\Application Data\AdobeUM
2008-04-13 12:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 12:11 --------- d-----w C:\Program Files\Samsung
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-12-05 15:14 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2007-11-25 22:00 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99f05c5a-6027-4ba7-b0b6-b8aa5f8694d6}]
2008-05-19 20:07 117760 --a------ C:\WINDOWS\System32\htjuvbff.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:45 13312]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2007-11-19 14:49 214456]
"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-10-09 14:42 475180]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-29 12:45 1511453]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"pdfFactory Dispatcher v3"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2006-12-10 22:25 512000]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-25 17:15 282624]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-25 17:15 185896]
"LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44 73728]
"lxcimon.exe"="C:\Program Files\Lexmark 7300 Series\lxcimon.exe" [2005-09-30 16:47 200704]
"EzPrint"="C:\Program Files\Lexmark 7300 Series\ezprint.exe" [2005-08-01 14:05 94208]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 18:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 18:14 81920]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 18:57 81408]
"BMc7e71c4a"="C:\WINDOWS\System32\evwicfed.dll" [2008-05-19 20:07 109056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45 13312]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
R3 L6TPortGX;Service - Line 6 TonePort GX;C:\WINDOWS\System32\Drivers\L6TPortGX.sys [2008-03-22 00:01]
R3 lxci_device;lxci_device;C:\WINDOWS\System32\lxcicoms.exe [2005-10-24 14:33]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 02:48]
S3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;C:\WINDOWS\System32\DRIVERS\MRVW225.sys [2006-09-29 09:59]
S3 RemoteControl-USBLAN;RemoteControl-USBLAN;C:\WINDOWS\System32\DRIVERS\rcblan.sys [2007-01-24 17:27]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 02:32]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 20:49:16
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\WinZip\WZQKPICK.EXE
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-19 20:51:00 - machine was rebooted [BEBE]
ComboFix-quarantined-files.txt 2008-05-19 18:50:52
ComboFix2.txt 2008-05-19 17:52:53

Pre-Run: 303,698,391,040 octets libres
Post-Run: 303,694,786,560 octets libres

187

Cette fois quand j'ai ouvert le net pour venir te répondre, je n'ai eu aucune pub ni bug. Alors on va voir si ça tient. Je te tiens informé dans la soirée si c'est redevenu normal ou pas.
En tout cas, merci énormément de ton aide très précieuse. Heureusement qu'il y a des gens comme toi !!

Réponse 4 / 11

eZula Messages postés 3509 Statut Contributeur 392

Ca résiste. Refais la manip CFScript, avec le script suivant :

File::
C:\WINDOWS\BMc7e71c4a.xml
C:\WINDOWS\system32\jqfxjwhb.exe
C:\WINDOWS\system32\gxcqdrey.dll
C:\WINDOWS\system32\htjuvbff.dll
C:\WINDOWS\system32\evwicfed.dll
C:\WINDOWS\system32\gqebitsy.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99f05c5a-6027-4ba7-b0b6-b8aa5f8694d6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BMc7e71c4a"=-

& poste le rapport

ginie

Voilà le nouveau rapport :
ComboFix 08-05-15.3 - BEBE 2008-05-19 21:04:08.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.584 [GMT 2:00]
Endroit: C:\Documents and Settings\BEBE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\BEBE\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\BMc7e71c4a.xml
C:\WINDOWS\system32\evwicfed.dll
C:\WINDOWS\system32\gqebitsy.dll
C:\WINDOWS\system32\gxcqdrey.dll
C:\WINDOWS\system32\htjuvbff.dll
C:\WINDOWS\system32\jqfxjwhb.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMc7e71c4a.xml
C:\WINDOWS\system32\evwicfed.dll
C:\WINDOWS\system32\gqebitsy.dll
C:\WINDOWS\system32\gxcqdrey.dll
C:\WINDOWS\system32\htjuvbff.dll
C:\WINDOWS\system32\jqfxjwhb.exe

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
.

2008-05-19 18:59 . 2008-05-19 18:59 <REP> d-------- C:\Program Files\CCleaner
2008-05-19 16:10 . 2005-06-15 02:17 427,520 --a------ C:\WINDOWS\WRServices.dll
2008-05-19 16:03 . 2001-03-08 19:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-05-17 10:16 . 2002-08-29 01:27 38,528 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
2008-05-17 10:16 . 2002-08-29 01:27 38,528 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
2008-05-17 00:17 . 2008-05-17 00:17 <REP> d-------- C:\Program Files\Alwil Software
2008-05-17 00:03 . 2008-05-17 00:03 <REP> d-------- C:\Program Files\Lavasoft
2008-05-17 00:03 . 2008-05-17 00:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-17 00:02 . 2008-05-17 00:02 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-05-16 23:55 . 2008-05-16 23:55 <REP> d-------- C:\Program Files\Trend Micro
2008-05-16 23:25 . 2008-05-16 23:51 2,128 --a------ C:\WINDOWS\wininit.ini
2008-05-16 23:07 . 2008-05-17 00:13 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-16 23:07 . 2008-05-17 00:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-09 18:31 . 2008-05-09 18:31 <REP> d-------- C:\Documents and Settings\BEBE\Application Data\Ahead
2008-05-08 23:06 . 2008-05-10 22:10 71,527 --a------ C:\WINDOWS\Explorer.dmp
2008-04-28 19:18 . 2008-04-28 19:18 <REP> d-------- C:\Documents and Settings\BEBE\Application Data\Ableton
2008-04-28 19:18 . 2008-04-28 19:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ableton
2008-04-28 18:50 . 2008-04-04 18:40 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2008-04-28 18:49 . 2008-04-28 18:49 <REP> d-------- C:\Program Files\Ableton
2008-04-24 17:54 . 2006-03-30 17:39 368,640 --a------ C:\WINDOWS\system32\ReWire.dll
2008-04-24 17:53 . 2008-05-16 11:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Tracktion 3
2008-04-24 15:41 . 2002-08-29 01:32 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-04-24 15:41 . 2002-08-29 01:32 57,856 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2008-04-24 15:40 . 2008-04-24 15:40 370 --a------ C:\WINDOWS\GearBox.ini
2008-04-24 15:27 . 2008-03-22 00:01 521,088 --a------ C:\WINDOWS\system32\drivers\L6TPortGX.sys
2008-04-24 15:27 . 2008-03-22 00:01 167,936 --a------ C:\WINDOWS\system32\L6tpgx.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 18:34 --------- d-----w C:\Program Files\Lx_cats
2008-05-19 12:27 --------- d-----w C:\Program Files\Fichiers communs\ErreurChasseur
2008-05-16 20:01 --------- d-----w C:\Program Files\Logitech
2008-05-15 15:37 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-15 15:36 --------- d-----w C:\Documents and Settings\BEBE\Application Data\AdobeUM
2008-04-13 12:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 12:11 --------- d-----w C:\Program Files\Samsung
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-12-05 15:14 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2007-11-25 22:00 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((( snapshot@2008-05-19_20.50.44.85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 18:48:41 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-19 19:08:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-19 18:48:42 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-19 19:08:29 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-19 18:48:42 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-05-19 19:08:29 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-05-19 18:48:42 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-19 19:08:29 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:45 13312]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2007-11-19 14:49 214456]
"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-10-09 14:42 475180]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-29 12:45 1511453]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"pdfFactory Dispatcher v3"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2006-12-10 22:25 512000]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-25 17:15 282624]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-25 17:15 185896]
"LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44 73728]
"lxcimon.exe"="C:\Program Files\Lexmark 7300 Series\lxcimon.exe" [2005-09-30 16:47 200704]
"EzPrint"="C:\Program Files\Lexmark 7300 Series\ezprint.exe" [2005-08-01 14:05 94208]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 18:14 8491008]
"nwiz"="nwiz.exe" [2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 18:14 81920]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 18:57 81408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45 13312]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
R3 L6TPortGX;Service - Line 6 TonePort GX;C:\WINDOWS\System32\Drivers\L6TPortGX.sys [2008-03-22 00:01]
R3 lxci_device;lxci_device;C:\WINDOWS\System32\lxcicoms.exe [2005-10-24 14:33]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 02:48]
S3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;C:\WINDOWS\System32\DRIVERS\MRVW225.sys [2006-09-29 09:59]
S3 RemoteControl-USBLAN;RemoteControl-USBLAN;C:\WINDOWS\System32\DRIVERS\rcblan.sys [2007-01-24 17:27]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 02:32]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 21:09:10
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-19 21:10:45 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-19 19:10:42
ComboFix2.txt 2008-05-19 18:51:01
ComboFix3.txt 2008-05-19 17:52:53

Pre-Run: 303,657,095,168 octets libres
Post-Run: 303,643,557,888 octets libres

157

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 11

eZula Messages postés 3509 Statut Contributeur 392

Ce coup-ci ça a l'air bon. Ultime vérification : Lance CCleaner : "Nettoyeur"/"lancer le nettoyage", fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 puis poste le rapport lorsqu'il a terminé.

sinon tu as une idée de comment tous ces malheurs te sont arrivés ?

ginie

Voilà le rapport de bitdefender :
BitDefender Online Scanner

Rapport d'analyse généré à: Mon, May 19, 2008 - 21:48:14

Voie d'analyse: A:\;C:\;D:\;

Statistiques

Temps
00:13:48

Fichiers
67046

Directoires
4147

Secteurs de boot
2

Archives
875

Paquets programmes
7828

Résultats

Virus identifiés
8

Fichiers infectés
18

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
18

Info sur les moteurs

Définition virus
1202066

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
42

Unpack des plugins
7

E-mail plugins
6

Système plugins
5

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions

Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui

Fichier analysé
Statut

C:\Documents and Settings\BEBE\Mes documents\Will\keyfinder.exe
Détecté avec: Application.Findkeyxp.L

C:\Documents and Settings\BEBE\Mes documents\Will\keyfinder.exe
Echec de la désinfection

C:\Documents and Settings\BEBE\Mes documents\Will\keyfinder.exe
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032213.exe
Détecté avec: Application.Winfixer.BD

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032213.exe
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032213.exe
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032223.dll
Détecté avec: Application.Winfixer.BD

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032223.dll
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032223.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032225.dll
Détecté avec: Adware.WinFixer.F

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032225.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032233.dll
Détecté avec: Application.Winfixer.BD

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032233.dll
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032233.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032312.dll
Infecté par: Trojan.Generic.175849

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032312.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP218\A0045034.ini
Infecté par: Trojan.Vundo.DVS

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP218\A0045034.ini
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP218\A0045034.ini
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045058.ini
Infecté par: Trojan.Vundo.DVS

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045058.ini
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045058.ini
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045066.ini
Infecté par: Trojan.Vundo.DVS

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045066.ini
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045066.ini
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050127.exe
Détecté avec: Application.Winfixer.BD

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050127.exe
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050127.exe
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050135.dll
Détecté avec: Application.Winfixer.BD

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050135.dll
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050135.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050136.dll
Infecté par: Trojan.Generic.175849

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050136.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050138.dll
Détecté avec: Adware.WinFixer.F

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050138.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050145.dll
Détecté avec: Application.Winfixer.BD

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050145.dll
Echec de la désinfection

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050145.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050241.dll
Détecté avec: Spyware.Safeerr.A

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050241.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP232\A0050670.dll
Infecté par: MemScan:Adware.Vundo.BE

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP232\A0050670.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP235\A0055729.dll
Infecté par: MemScan:Trojan.Vundo.ELF

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP235\A0055729.dll
Supprimé

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP236\A0055790.dll
Infecté par: MemScan:Trojan.Vundo.ELF

C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP236\A0055790.dll
Supprimé

Quant à ce qui m'est arrivé j'en ai aucune idée !!!!

ginie

Bonjour eZula,

Apparemment mon ordi va mieux ! Je viens de l'allumer et quand je surfe sur le net j'ai plus de pub.

Par contre, tout ce que tu m'as fait téléchargé, combofix, vundofix, hijacthis, genproc, msnfix ... Je dois les supprimer maintenant ou dois-je les garder ?

Et avast, il est bon ? Je le garde ou j'en prends un autre ?

Merci pour toutes tes réponses

Réponse 6 / 11

fromagedebikette Messages postés 925 Statut Membre 189

slt, si tu as avast ce qu'on lit plus haut, clique sur mettre en quarantaine et le tour est joue. Moi osi j'ai eu se virus et la seule maniere de ne plus etre embetee c'est de le mettre en qurantaine. Si tu met supprimer, ca ne te le supprimera pas et il reviendra toujours

kiko55

slt j ai les meme symptomes d une part une boite message qui s ouvre pour te deriger vers un site qui prettend t aider a fair un scan souvent http://scanner2.malware-scan.com ou http://viruseffaceur.com aussi http://antivirusfiable.com d une autre part des fichiers (virus) dll qui se chargent en memoires a travers rundll32.dll toujour 2 fichiers dll avec des noms aleatoires tu peut les voir dans le gestionnaire des taches si tu fait ctrl alt sup
voici un truc que j ai essayer pour depanner ce probleme et recupperer la vitesse de l ordinateur ; moi j utilise fire foxe d abord pour empecher les sites tu doit installer un plugin fire foxe qui bloque les urls et site undisirables tu peut le telecharger ici https://addons.mozilla.org/en-US/firefox/addon/blocksite/ apres installation redemarre firefoxe et va a outils/modules complimentaires/blocksite/optiones /add et fait entrer les noms des sites que tu veut empecher les 3 mentionné en haut et ferme cet addon par mot de passe

le 2eme truc redemarre en mode sans echec et deplace rundll32.exe de son emplacement c:/windows/system32 et met le en c:/ ainsi tu vas empecher l execution du verus le temps de trouver une solution radicale a ce probleme
voila c tout ce que j ai j espere que ca va t aider

ginie > kiko55

Merci kiko55, mais comme je disais à Fromagedebikette, mon problème est apparement résolu grâce à eZula.

Merci à vous de m'avoir aidée.

ginie

Merci fromagedebikette mais apparement mon problème est résolu grâce aux fabuleux conseils de eZula...
Merci quand même

ginie

Re-bonjour,

J'ai parlé trop vite ! Je viens de faire une analyse avec AVAST et il m'a trouvé 34 fichiers infectés par win32 : vundo@dll !
J'ai donc fait comme tu me l'as conseillé, j'ai tout mis en quarantaine et ça a l'air d'être bon puisque je viens de refaire une analyse et AVAST ne me trouve pas de virus !!

Mais ça va toujours resté dans le fichier "quarantaine" ? N'y -a-t-il aucun moyen qu'ils disparaissent complètement ?

Réponse 7 / 11

eZula Messages postés 3509 Statut Contributeur 392

ets-ce que tu te souviens des fichiers détectés par avast ?

ginie

Bonjour,

L'infection c'est : win32 : vundo@dll [trj]
Et la localisation est :
C:\Qoobox\Quarantine\C\WINDOWS\system32
C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP236
puis RP235, RP231 et RP223

Les fichiers ont toutes des extensions .dll ou .dll.vir

Tu veux tous les noms de fichiers ?

Réponse 8 / 11

eZula Messages postés 3509 Statut Contributeur 392

ok donc rien d'alarmant, il s'agit juste de la restauration système ou de la quarantaine de combofix.

* Pour terminer, utilise ToolsCleaner! (de A.Rothstein) http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe pour nettoyer les utilitaires téléchargés.

* Lance le nettoyage avec CCleaner et fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1

* Lorsqu'il a terminé, désactive ta restauration système, redémarre l'ordinateur et réactive-la :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* Utilise hebdomadairement ce petit programme http://filehippo.com/updatechecker/UpdateChecker.exe pour effectuer tes mises à jour logicielles. Il suffit de le lancer (aucune installation n'est requise). Les liens des mises à jour disponibles apparaitront alors dans une page web. Conseil : n'installe pas les version "beta".
* Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
* N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)

* A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas

* Note importante : "Les comptes Administrateur ne sont pas appropriés pour une utilisation occasionnelle ; toute personne utilisant votre ordinateur devrait par conséquent disposer d'un compte utilisateur limité afin de pouvoir accomplir des activités ordinaires, telles que le traitement de texte, la messagerie, le mutlimédia, la navigation sur le Web... Si vous êtes victime d'une attaque par un logiciel malveillant, l'attaquant peut accéder à votre ordinateur par l'intermédiaire du compte auquel vous êtes connecté ; des comptes limités donnent à l'attaquant un accès restreint, tandis qu'un compte administrateur lui donne un accès total."
=> Voir https://www.microsoft.com/de-ch

à+

ginie

J'ai fait ce sue tu m'as dit : ToolsCleaner, Ccleaner, le scan bitdefender dont je t'ai mis le rapport. J'ai désactivé la restaurations système, arrêter, redémarrer et réactiver.
Voilà.

Merci encore énormément pour tout ce que tu as fait.
BitDefender Online Scanner

Rapport d'analyse généré à: Tue, May 20, 2008 - 18:36:40

Voie d'analyse: A:\;C:\;D:\;

Statistiques

Temps
00:15:18

Fichiers
67019

Directoires
4113

Secteurs de boot
2

Archives
875

Paquets programmes
7807

Résultats

Virus identifiés
1

Fichiers infectés
1

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
1

Info sur les moteurs

Définition virus
1204419

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
16

Archive des plugins
42

Unpack des plugins
7

E-mail plugins
6

Système plugins
5

Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions

Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui

Fichier analysé
Statut

C:\Documents and Settings\BEBE\Bureau\ComboFix.exe=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe
Infecté par: Backdoor.Generic.46598

C:\Documents and Settings\BEBE\Bureau\ComboFix.exe=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe
Supprimé

C:\Documents and Settings\BEBE\Bureau\ComboFix.exe=>(RAR Sfx o)
Echec de la mise à jour

ginie

Je t'embête une dernière fois ...

Dois-je garder tout ce que tu m'as fait télécharger ?

Et comment indiqué que mon problème est résolu ?

Désolée...

Merci encore

Réponse 9 / 11

eZula Messages postés 3509 Statut Contributeur 392

Désolé, j'ai oublié d'enlever le scan Bitdefender qu'il n'était pas nécessaire de refaire
Sinon tout semble ok

Adios !

Réponse 10 / 11

eZula Messages postés 3509 Statut Contributeur 392

Normalement ToolsCleaner a du supprimer ce que tu as téléchargé, à part peut être les scripts CFScript que tu peux virer.
pour marquer le sujet résolu, il y a un bouton vert qui le permet en bas de la page "problème résolu" http://www.commentcamarche.net/template/sprite_picto.png > le 2ème sur cette image

Réponse 11 / 11

laboube

prend un bon antivirus comme mcfee il te suprime autmatiquement tous les virus et en plus il n'est pas tres chere environ trente €

Ordi infecté ! J'ai besoin d'aide...

11 réponses

Votre réponse

Newsletters