Virus cafards et win 32 Vundo @dlltri

lola -  
 gen-hackman -
Bonjour,

Mon ordinateur est lui aussi touché par les fameux cafards qui grignottent mon écran ainsi que le virus win 32.
J ai un rapport c cleaner.

Merci beaucoup de votre aide.
Configuration: Windows XP
Internet Explorer 7.0

37 réponses

  • 1
  • 2
Résumé de la discussion

Une infection informatique est décrite sur Windows XP et Internet Explorer 7, avec des symptômes évoquant des processus et fichiers malveillants et l’utilisation d’un rapport issu d’un outil de nettoyage. Des solutions essentielles préconisent de vérifier les fichiers infectés, d’analyser les rapports (par exemple via HijackThis et VirusTotal), puis de préparer les suppressions en regroupant les sauvegardes et les dossiers concernés. Certains répondants suggèrent de renommer HijackThis, de créer un dossier dédié et de passer par des outils comme NaviLog ou CatchMe pour nettoyer et supprimer les éléments détectés. En cas de doute, le redémarrage peut être nécessaire pour que certaines suppressions s’appliquent pleinement et éviter que des composants restent actifs, ce qui peut redéclencher l’infection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    bonjour

    1) Télécharge et installe Malwarebyte's Anti-Malware:

    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK

    Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.

    Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK

    Laisse les Mises à jour se télécharger

    *** Referme le programme ***

    2) Redémarre en "Mode sans échec"

    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
    Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm

    Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

    3) Scan avec Malwarebyte's Anti-Malware

    Lance Malwarebyte's Anti-Malware
    Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
    A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
    Suppression des éléments détectés >>>> clique sur Supprimer la sélection
    S'il t'es demandé de redémarrer >>> clique sur "Yes"

    --> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.

    quand tu demande une analyse, demande en mode sans échec.

    Pourquoi en mode sans échec:

    *Car déjà l'analyse cherche plus de fichiers en mode sans échec que en mode normal.
    *Et aussi en mode normal les virus ( trojans, cheval de troie, vers, spywares , malwares et autres ... sont actif) donc ne se supprimes pas donc ils faut le faire en mode sans échec .

    ensuite sers toi de cet outil :

    https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/34490.html

    Voici ci-dessous une procédure complète pour s'en débarrasser :
    1. Avant toute chose installer un pare-feu personnel du type ZoneAlarm ou Sunbelt Personal Firewall pour fermer la porte aux intrus sur l'ordinateur.
    2. Désactiver le service d'affichage des messages en ouvrant le panneau de configuration et en choisissant "Outils d'administration" (dans certains cas il sera nécessaire de cliquer sur "Basculer vers l'affichage classique" pour faire apparaître cet item). Cliquer sur "Services" puis double-cliquer sur "Affichage des messages" et enfin choisir à type de démarrage "Désactivé".
    3. Désactiver la restauration système en cliquant avec le bouton droit sur le Poste de travail et en choisissant Propriétés. Dans l'onglet Restauration du système cocher "Désactiver la restauration du système sur tous les lecteurs". Cliquer sur OK pour confirmer.
    4.Télécharger Smitfraudfix par S!RI :
    Décompresser l'archive
    Exécuter le en double cliquant sur Smitfraudfix.cmd
    Appuyer sur une touche pour continuer
    Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française
    Au menu, choisir l’option 1 : Recherche
    Poster le rapport ainsi généré dans le forum Virus/Sécurité (ou le cas échéant à la suite de votre message) :
    5. Redémarrer en mode sans échec
    Attention, la suite de la procédure doit être réalisée en mode sans échec sans prise en charge du réseau, il est donc nécessaire de noter ou imprimer les opérations suivantes.
    Pour démarrer l'ordinateur en mode sans échec, il suffit d'appuyer à intervalles courts sur la touche F8 au démarrage de l'ordinateur jusqu'à l'affichage du menu (ou F5 si F8 ne fonctionne pas), puis de choisir "Mode sans échec". NB: ce mode est particulièrement laid visuellement mais permet de charger un nombre restreint de processus en mémoire.
    6. Désinfection
    Lancer SmitfraudFix et choisir l’option 2 en répondant OUI (o) à la question qui vous sera posé
    7. Redémarrer en mode normal :
    Après avoir redémarré Windows normalement, relancer SmitfraudFix et choisir l'option 1, puis poster le rapport ainsi généré dans le forum, à la suite du précédent message. Un utilisateur averti vous indiquera sûrement rapidement si l'ordinateur est complètement désinfecté !
    8. Réactiver la restauration du système en cochant à nouveau la case décochée à l'étape 3.

    _et enfin telecharges ceci et fais l option 1 rapport a l appui que posteras:

    Fais une analyse par HijackThis, comme ceci:

    1)- Avec connexion au Net en service,
    Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < http://www.trendsecure.com/ > avec un installeur. Sur la page, choisis « Download HijackThis Installer » et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.

    2)- Installation : clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et choisis : "Exécuter en tant qu'administrateur" dans le menu déroulant qui s'affiche.
    - Ensuite, clic sur « Exécuter », puis sur « Install ».
    - Accepte la licence en cliquant sur le bouton "I Accept"
    - Le programme s’installe de lui-même dans un dossier dédié.
    - Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
    - Et un raccourci pour lancer l’analyse apparaît sur le bureau.

    Note: Comme cette version est appelée à rester sur le PC, faire un clic-droit sur HJTInstall.exe > Propriétés > Onglet compatibilité > coche la case "Exécuter en tant qu'administrateur" en bas .
    - Cette solution pérennise le choix qui peut être obtenu de manière provisoire par « clic-droit sur l'icône de raccourci/Exécuter en tant qu'administrateur» dans le menu contextuel.

    3)Analyse :
    •-Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
    - Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!

    •-Arrête tous les programmes en cours et ferme toutes les fenêtres.
    •- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
    - À la fin du scan le bloc-notes va s'ouvrir sur le bureau
    - Tu fais un copier/coller de tout son contenu.
    - Et tu le postes sur le forum.
    - Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log.

    ______________________________________________
    0
  2. lola
     
    Voici le rapport demandé et merci beaucoup pour ton aide

    SmitFraudFix v2.320

    Rapport fait à 15:01:59,14, 20/05/2008
    Executé à partir de C:\Documents and Settings\Anne\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\WINDOWS\system32\Rundll32.exe
    C:\WINDOWS\system32\keyhook.exe
    C:\Program Files\Launch Manager\QtZgAcer.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\CameraAssistant.exe
    C:\WINDOWS\system32\ElkCtrl.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\acer\eRecovery\Monitor.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\svchost.exe
    C:\windows\system32\vuypjt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\sistray.exe
    C:\Program Files\Registry Defender Platinum\RegistryDefender.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts
    0
  3. gen-hackman
     
    j aurais bien voulu celui de malwarebytes aussi
    0
  4. lola
     
    le voilà!

    malwarebytes' Anti-Malware 1.12
    Version de la base de données: 768

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 100252
    Temps écoulé: 58 minute(s), 39 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 21
    Valeur(s) du Registre infectée(s): 5
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 12
    Fichier(s) infecté(s): 29

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\ljJATjJA.dll (Trojan.Vundo) -> Unloaded module successfully.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{7e66936c-fea0-4984-ad26-7b6661ac5b2e} (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0d987fb6-2cb1-4189-b6a1-5e8185e9a899} (Rogue.Registry.Defender) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{aa4939c3-deca-4a48-a454-97cd587c0ef5} (Adware.NetOptimizer) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{eee4a2e5-9f56-432f-a6ed-f6f625b551e0} (Adware.NetOptimizer) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\AXPDefender (Rogue.AdvancedXPDefender) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{47551f98-cc7f-4701-a650-d7231eea60bd} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{47551f98-cc7f-4701-a650-d7231eea60bd} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjatjja (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webvideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{2ffb8cf4-576e-4941-a636-d659bfb2d4a6} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{d6dd688a-1c26-4d1e-9fd4-ed3490d7e359} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\pvnsmfor.brep (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Registry Defender (Rogue.Registry.Defender) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lola
     
    voilà
    SmitFraudFix v2.320

    Dites moi doc ce que je dois faire...

    Rapport fait à 15:19:29,98, 20/05/2008
    Executé à partir de C:\Documents and Settings\Anne\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Documents and Settings\All Users\Bureau\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36[1].exe
    C:\WINDOWS\system32\Rundll32.exe
    C:\WINDOWS\system32\keyhook.exe
    C:\Program Files\Launch Manager\QtZgAcer.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Logitech\Video\CameraAssistant.exe
    C:\WINDOWS\system32\ElkCtrl.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\windows\system32\vuypjt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\acer\eRecovery\Monitor.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Alwil Software\Avast4\setup\avast.setup
    C:\WINDOWS\system32\sistray.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Registry Defender Platinum\RegistryDefender.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Sony Ericsson\Mobile2\File Manager\SendToDevice.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Anne\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ANNE\FAVORIS

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte réseau Broadcom 802.11g - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 212.27.54.252
    DNS Server Search Order: 212.27.53.252

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{31D7CEB3-A396-47A4-9561-ED8E71B0B68D}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{31D7CEB3-A396-47A4-9561-ED8E71B0B68D}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{31D7CEB3-A396-47A4-9561-ED8E71B0B68D}: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  7. gen-hackman
     
    tu as redemarre depuis malwarebytes?si non fais le
    0
  8. lola
     
    euh non.. Je dois refaire un scan tu veux dire? Désolée je suis un peu perdue
    0
  9. gen-hackman
     
    non je voulais savoir si tu avais redemarrer car certains morceaux ont besoin d un redemarrage pour etre supprimes
    0
  10. lola
     
    ok. J'ai redémarré après la désinfection. Je dois redémarrer l'ordi là?
    0
  11. gen-hackman
     
    non si tu as redemarre c est bon...tu peux me refaire un nouveau rapport de malwarebytes?
    0
  12. gen-hackman
     
    ensuite tu feras l'option 2 sur navilog :

    Double cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuies sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc-notes. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    0
  13. lola
     
    oui je le fais avast me dit que j'ai toujours Win32:Vundo@dll [Trj] aaaarghh
    0
  14. gen-hackman
     
    oui tu es encore infectee dans un module memoire apparement
    0
  15. gen-hackman
     
    et bien nous verrons apres le navilog (2)
    0
    1. lola
       
      ok et merci beaucoup pur ton aide!
      0
  16. gen-hackman
     
    il n y a pas que moi je te rassure...je ne suis qu en apprentissage rapide....lol
    0
    1. lola
       
      Vu d'ici ça ne se voit pas! lol

      alors voilà le rapport malwarebytes et je suppose que maintenant je fais le truc sur navilog, isn't it?

      Malwarebytes' Anti-Malware 1.12
      Version de la base de données: 768

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 95546
      Temps écoulé: 28 minute(s), 29 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 4
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      C:\WINDOWS\system32\ljJATjJA.dll (Trojan.Vundo) -> Unloaded module successfully.

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\CLSID\{47551f98-cc7f-4701-a650-d7231eea60bd} (Trojan.Vundo) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{47551f98-cc7f-4701-a650-d7231eea60bd} (Trojan.Vundo) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjatjja (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Registry Defender (Rogue.Registry.Defender) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{47551f98-cc7f-4701-a650-d7231eea60bd} (Trojan.Vundo) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\ljJATjJA.dll (Trojan.Vundo) -> Delete on reboot.
      0
  17. gen-hackman
     
    si ce n est fait,redemarre et navilog (2)
    0
  18. lola
     
    voilà le rapport

    Clean Navipromo version 3.5.7 commencé le 20/05/2008 à 16:31:05,62

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "Anne"

    Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.11
    Système de fichiers : FAT32

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS

    Nettoyage executé en mode sans échec

    *** Creation backups fichiers trouvés par Catchme ***

    Copie vers "C:\Program Files\navilog1\Backupnavi"

    *** Suppression des fichiers trouvés avec Catchme ***

    ** 2ème passage avec résultats Catchme **

    * Dans "C:\WINDOWS\system32" *

    vuypjt.exe trouvé !
    Copie vuypjt.exe réalisée avec succès !
    vuypjt.exe supprimé !

    vuypjt.dat trouvé !
    Copie vuypjt.dat réalisée avec succès !
    vuypjt.dat supprimé !

    vuypjt_navup.dat trouvé !
    Copie vuypjt_navup.dat réalisée avec succès !
    vuypjt_navup.dat supprimé !

    C:\WINDOWS\prefetch\vuypjt*.pf trouvé !
    Copie C:\WINDOWS\prefetch\vuypjt*.pf réalisée avec succès !
    C:\WINDOWS\prefetch\vuypjt*.pf supprimé !

    * Dans "C:\Documents and Settings\Anne\locals~1\applic~1" *

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\WINDOWS\System32" *

    * Suppression dans "C:\Documents and Settings\Anne\locals~1\applic~1" *

    *** Suppression dossiers dans "C:\WINDOWS" ***

    *** Suppression dossiers dans "C:\Program Files" ***

    *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

    *** Suppression dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\Anne\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\Anne\locals~1\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\Anne\menud+~1\progra~1" ***

    *** Suppression fichiers ***

    C:\WINDOWS\pack.epk supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Anne\locals~1\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans "C:\WINDOWS\system32" *

    * Dans "C:\Documents and Settings\Anne\locals~1\applic~1" *

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !
    Certificat Electronic-Group supprimé !
    Certificat OOO-Favorit supprimé !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Nettoyage terminé le 20/05/2008 à 16:31:57,15 ***
    0
  19. lola
     
    je crois qu on tient le bon bout ou je me trompe?
    0
  20. lola
     
    y a quand meme un truc bizarre c'est les fenêtres "registry defendeur" qui continuent à s'ouvrir tts seules, genre spams....
    0
    1. lola
       
      bouhhhhh y a plus personne...
      0
  • 1
  • 2