Aide pour virer Vundo@ll, j'ai tt essayé

krysman25 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Je viens poster aujourd'hui-hui car après plusieurs essais, je n'ai toujours pas a supprimer le trojan Vundo@dll

J'ai effectué un rapport Hijackthis, j'ai utilisé :
==>Vundofix qui ne me trouve aucun trojan -_-"
==>Virtumundobegone qui ne me trouve aucun trojan non plus
==> Combofix qui ne veut pas se lancer ca me dit : "data error +"date d'aujourd'hui""

Je poste ici tout le rapport d'hijackthis en espérant une aide ;)(j'ai mis en gras tout ce qui était suspect...)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:56, on 05/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Users\Krysman\lsass.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\oodag.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Users\Krysman\Desktop\VundoFix(2).exe
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\lpremove.exe
C:\Windows\system32\lpksetup.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D7B3283-19B5-4F46-86B1-ADCDDA8FE008} - C:\Windows\system32\qOigggeb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\vtUmLcYq.dll,#1
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [LSA Shellu] C:\Users\Krysman\lsass.exe
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with Rapget - C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9088 bytes
Configuration: Windows Vista
Firefox 2.0.0.14

39 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par le cheval de Troie Vundo@dll empêche sa suppression sur Windows Vista après plusieurs essais, malgré l'utilisation d'outils dédiés et le recours à des rapports système. Plusieurs outils ont été proposés, dont Vundofix et Virtumundobegone sans détection, puis Combofix qui échoue sur une erreur data error; des alternatives comme Rav Antivirus et Flash Disinfector ont été évoquées. Les rapports HijackThis ont montré de nombreuses entrées et des valeurs suspectes, avec des DLL et des services compromis, et la discussion a tourné autour de l'interprétation des logs et des stratégies de nettoyage. En cas de persistance de l'infection, certains préconisent d'opérer hors ligne et d'analyser les dépendances logicielles, car des composants malveillants peuvent se dissimuler sous des processus légitimes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    vire spyware doctor si tu paye pas cela ne vaut rien

    tu es infecté par vundo mais aussi IRCBOT fais tout ceci:
    __________

    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    O2 - BHO: (no name) - {4D7B3283-19B5-4F46-86B1-ADCDDA8FE008} - C:\Windows\system32\qOigggeb.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\vtUmLcYq.dll,#1

    O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
    O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /
    O8 - Extra context menu item: Download with Rapget - C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm

    ___________

    télécharge OTMoveIt
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm
    C:\Windows\system32\qOigggeb.dll
    C:\Windows\system32\vtUmLcYq.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ____________________

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    _____________________

    scan avec
    MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    ____________________

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    __________________
    recolle un hijakctris
    0
  2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, commence par passer malewarebytes suivi de ccleaner dans ses deux modes nettoyeur et registre et un scan anti -virus en ligne avec kaspersky en utilisant internet explorer et poste le rapport
    1) malwarebytes : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    2) ccleaner : https://www.malekal.com/tutoriel-ccleaner/
    3) scan en ligne : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
    lis bien les tutoriels pour bien les appliquer tu les passes dans l'ordre merci
    et essais de remettre un rapport hijackthis
    0
  3. krysman25
     
    Je vais commencer par faire ce que dit Jlpjlp , je veux pas melanger 2 methodes ;)
    Je fais cela de suite...
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      tu as raison puisque tu as eu sa proposition en première @+
      0
  4. krysman25
     
    Premier compte-rendu :
    ==>spybot viré
    ==> Compte rendu MoveIt :
    < C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm >
    C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm moved successfully.
    LoadLibrary failed for C:\Windows\system32\qOigggeb.dll
    C:\Windows\system32\qOigggeb.dll NOT unregistered.
    File move failed. C:\Windows\system32\qOigggeb.dll scheduled to be moved on reboot.
    DllUnregisterServer procedure not found in C:\Windows\system32\iifgGXNf.dll
    C:\Windows\system32\iifgGXNf.dll NOT unregistered.
    File move failed. C:\Windows\system32\iifgGXNf.dll scheduled to be moved on reboot.

    OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05052008_132434

    Files moved on Reboot...
    DllUnregisterServer procedure not found in C:\Windows\system32\qOigggeb.dll
    C:\Windows\system32\qOigggeb.dll NOT unregistered.
    File move failed. C:\Windows\system32\qOigggeb.dll scheduled to be moved on reboot.
    DllUnregisterServer procedure not found in C:\Windows\system32\iifgGXNf.dll
    C:\Windows\system32\iifgGXNf.dll NOT unregistered.
    C:\Windows\system32\iifgGXNf.dll moved successfully.

    ==>En mode sans echec, SDfix ne fonctionne pas....Je clique sur Runthis.bat , la fenetre n'apparait que pendant 1 seconde et disparait!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    normal car sdfix n'est pas compatible avec vista , tu as virer spybot mais il me semble que c'est pas ça qu'il te demandait c'était spyware doctor
    0
  7. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    ok attend le retour de jlpjlp, bonne nuit
    0
  8. krysman25
     
    Je suis quand même passer a l'étape suivante, celle du malwarebytes.Je ne pense pas que cela nuise à l'éradication du trojan; Donc voici le rapport et après je vais au dodo! je finirais demain! Encore merci de votre aide ;)

    Malwarebytes' Anti-Malware 1.12
    Version de la base de données: 782

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 142739
    Temps écoulé: 27 minute(s), 0 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 7
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 29

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\System32\qOigggeb.dll (Trojan.Vundo) -> Unloaded module successfully.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7fc9ec69-1915-48aa-ad2d-2b8c2a7fad18} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{7fc9ec69-1915-48aa-ad2d-2b8c2a7fad18} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{8a290466-39bd-419b-93db-0e9599506654} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{8a290466-39bd-419b-93db-0e9599506654} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LSA Shellu (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qoigggeb -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\Program Files\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\dsktp (Adware.SoftMate) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\WINDOWS\System32\qOigggeb.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\System32\begggiOq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32\begggiOq.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\update.exe (Trojan.StartPage) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\wupda.exe (Adware.SoftMate) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp00008fa1 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp0000908b (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp00009127 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp000092ad (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp000092dc (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp00009efc (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp0000a302 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp0001056c (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp00015031 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\AppData\Local\Temp\tmp000179ef (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\mrofinu1188.exe.tmp (Trojan.DownLoader) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32\3056v\Wvram13.exe (Adware.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32\emL1\roEbdll2.exe (Trojan.StartPage) -> Quarantined and deleted successfully.
    C:\_OTMoveIt\MovedFiles\05052008_132434\Windows\system32\iifgGXNf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\Uninst.exe (Adware.SoftMate) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\version.ini (Adware.SoftMate) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\dsktp\AC_RunActiveContent.js (Adware.SoftMate) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\dsktp\desktop.html (Adware.SoftMate) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\dsktp\internetDetection.swf (Adware.SoftMate) -> Quarantined and deleted successfully.
    C:\Program Files\winvi\dsktp\settings.sol (Adware.SoftMate) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32\pmnoNFvV.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\System32\awtqqpQg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Users\Krysman\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Users\Krysman\ctfmon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  9. krysman25
     
    Hijackthis me redonne ce rapport juste après mais Avast ma encore detecté le trojan....

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:11:48, on 05/05/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16643)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
    C:\Users\Krysman\Desktop\FixVundo.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O13 - Gopher Prefix:
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
    O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
    O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge MSNFix de Laurent
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le et double clic sur le fichier MSNFix.bat.
    - Exécute l'option R.
    --Si l'infection est détectée, exécute l'option N
    - Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

    ________________

    il me faut le rapport combofix pour finir de desinfecter ton ordi!!!

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    __________________
    recolle un hijakctris
    je te conseille de renomer hijakchits en EDEN.exe pour eviter que vundo se cache dans le rapport
    0
  11. krysman25
     
    Je recopie tout cela et je le fais ;)
    0
    1. krysman25
       
      euh MSNFIX ca dure combien de temps? car cela fait 20min et ca reste bloqué sur " scan......."
      0
  12. krysman25
     
    voila le rapport de MSNfix :

    MSNFix 1.717

    C:\Users\Krysman\Desktop\MSNFix
    Fix exécuté le 05/05/2008 - 20:37:52,06 By Krysman
    mode normal

    ************************ Recherche les fichiers présents

    ... C:\Users\Krysman\????????.exe

    ************************ Recherche les dossiers présents

    Aucun dossier trouvé

    ************************ Suppression des fichiers

    .. OK ... C:\Users\Krysman\????????.exe

    ************************ Nettoyage du registre

    Les fichiers encore présents seront supprimés au prochain redémarrage

    Aucun Fichier trouvé

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 05052008_21123436.zip

    ************************ HKLM\...\Winlogon\Userinit

    Userinit = C:\Windows\system32\userinit.exe,

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------
    0
  13. krysman25
     
    Et voici le rapport de Combofix :

    ComboFix 08-05-21.3 - Krysman 2008-05-24 21:22:14.1 - NTFSx86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1443 [GMT 2:00]
    Endroit: C:\Users\Krysman\Desktop\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Temp\1cb
    C:\Temp\1cb\syscheck.log
    C:\Windows\system32\MSINET.oca

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-24 to 2008-05-24 ))))))))))))))))))))))))))))))))))))
    .

    Pas de nouveau fichier cr‚‚ dans cet espace de temps

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-15 23:18 50,768 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
    2008-05-05 18:46 27,048 ----a-w C:\Windows\system32\drivers\mbamcatchme.sys
    2008-05-05 18:46 15,864 ----a-w C:\Windows\system32\drivers\mbam.sys
    2008-05-05 17:21 0 ----a-w C:\ntuser.dat
    2008-05-05 11:50 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-05 11:50 --------- d-----w C:\PROGRA~2\Malwarebytes
    2008-05-05 11:46 --------- d-----w C:\Program Files\Metin2_France
    2008-05-05 11:16 --------- d---a-w C:\PROGRA~2\TEMP
    2008-05-05 09:53 --------- d-----w C:\Program Files\Trend Micro
    2008-05-05 09:19 --------- d-----w C:\Program Files\CCleaner
    2008-05-05 09:19 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
    2008-05-04 06:39 --------- d-----w C:\Program Files\Sun
    2008-05-02 09:04 --------- d-----w C:\Program Files\Trojan Remover
    2008-05-02 09:04 --------- d-----w C:\PROGRA~2\Simply Super Software
    2008-05-01 08:58 537 ----a-w C:\Users\Krysman\268.bat
    2008-04-30 05:42 --------- d-----w C:\Program Files\Metin2.us
    2008-04-30 02:39 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-04-30 01:38 --------- d-----w C:\Program Files\KONAMI
    2008-04-27 11:03 --------- d-----w C:\PROGRA~2\BVRP Software
    2008-04-27 10:56 --------- d-----w C:\Program Files\Sony
    2008-04-27 10:52 --------- d-----w C:\Program Files\Sony Setup
    2008-04-27 10:49 --------- d-----w C:\Program Files\Sony Ericsson
    2008-04-27 10:49 --------- d-----w C:\PROGRA~2\Sony Ericsson
    2008-04-27 10:44 --------- d-----w C:\Program Files\SendFile
    2008-04-27 10:43 73,216 ----a-w C:\Windows\ST6UNST.EXE
    2008-04-27 10:43 249,856 ------w C:\Windows\Setup1.exe
    2008-04-27 06:36 --------- d-----w C:\Program Files\LimeWire
    2008-04-26 17:31 --------- d-----w C:\Program Files\DivX
    2008-04-26 15:45 --------- d-----w C:\PROGRA~2\HP
    2008-04-26 03:42 --------- d-----w C:\Program Files\Windows Live
    2008-04-26 03:41 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
    2008-04-26 03:40 --------- d-----w C:\PROGRA~2\WLInstaller
    2008-04-25 20:01 --------- d-----w C:\Program Files\Common Files\Adobe
    2008-04-25 11:55 --------- d-----w C:\PROGRA~2\Roxio
    2008-04-25 11:30 --------- d-----w C:\PROGRA~2\Sonic
    2008-04-25 07:30 --------- d-----w C:\Program Files\San Andreas Mod Installer
    2008-04-25 06:35 --------- d-----w C:\Program Files\Rockstar Games
    2008-04-25 04:00 --------- d-----w C:\PROGRA~2\Microsoft Help
    2008-04-25 03:46 --------- d-----w C:\Program Files\MSBuild
    2008-04-25 03:46 --------- d-----w C:\Program Files\Microsoft Works
    2008-04-25 03:42 --------- d-----w C:\Program Files\Microsoft.NET
    2008-04-25 03:25 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
    2008-04-25 01:06 --------- d-----w C:\Program Files\GrabIt
    2008-04-24 21:38 --------- d-----w C:\Program Files\Simulateur de conduite 3D
    2008-04-24 19:18 --------- d-----w C:\Program Files\DAEMON Tools
    2008-04-24 19:00 685,816 ----a-w C:\Windows\system32\drivers\sptd.sys
    2008-04-24 18:45 --------- d-----w C:\Program Files\inKline Global
    2008-04-24 18:26 --------- d-----w C:\Program Files\OO Software
    2008-04-24 18:23 --------- d-----w C:\Program Files\Lavasoft
    2008-04-24 18:23 --------- d-----w C:\PROGRA~2\Lavasoft
    2008-04-24 18:22 --------- d-----w C:\Program Files\ABBYY PDF Transformer 2.0
    2008-04-24 18:20 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
    2008-04-24 18:20 --------- d-----w C:\PROGRA~2\ABBYY
    2008-04-24 18:18 --------- d-----w C:\Program Files\Spybot - Search & Destroy
    2008-04-24 18:07 --------- d-----w C:\Program Files\TuneUp Utilities 2008
    2008-04-24 18:06 --------- d-----w C:\PROGRA~2\TuneUp Software
    2008-04-24 17:35 --------- d-----w C:\Program Files\Common Files\Symantec Shared
    2008-04-24 17:02 --------- d-----w C:\Program Files\VideoLAN
    2008-04-24 16:53 174 --sha-w C:\Program Files\desktop.ini
    2008-04-24 16:49 --------- d-----w C:\Program Files\Alwil Software
    2008-04-24 16:18 --------- d-----w C:\Program Files\CONEXANT
    2008-04-24 15:51 --------- d-----w C:\Program Files\Windows Sidebar
    2008-04-24 15:51 --------- d-----w C:\Program Files\Windows Mail
    2008-04-24 15:51 --------- d-----w C:\Program Files\Windows Defender
    2008-04-24 15:51 --------- d-----w C:\Program Files\Windows Calendar
    2008-04-24 15:38 70,144 ----a-w C:\Windows\system32\drivers\pacer.sys
    2008-04-24 15:38 619,008 ----a-w C:\Windows\system32\drivers\dxgkrnl.sys
    2008-04-24 15:38 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
    2008-04-24 15:38 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
    2008-04-24 15:38 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
    2008-04-24 15:36 28,344 ----a-w C:\Windows\system32\drivers\battc.sys
    2008-04-24 15:36 258,232 ----a-w C:\Windows\system32\drivers\acpi.sys
    2008-04-24 15:36 20,920 ----a-w C:\Windows\system32\drivers\compbatt.sys
    2008-04-24 15:36 2,923,520 ----a-w C:\Windows\explorer.exe
    2008-04-24 15:36 14,208 ----a-w C:\Windows\system32\drivers\CmBatt.sys
    2008-04-24 15:36 11,264 ----a-w C:\Windows\system32\drivers\wmiacpi.sys
    2008-04-24 15:35 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
    2008-04-24 15:32 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
    2008-04-24 15:32 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
    2008-04-24 15:30 63,488 ----a-w C:\Windows\system32\drivers\mpsdrv.sys
    2008-04-24 15:30 23,040 ----a-w C:\Windows\system32\drivers\tunnel.sys
    2008-04-24 15:30 15,360 ----a-w C:\Windows\system32\drivers\TUNMP.SYS
    2008-04-24 15:29 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
    2008-04-24 15:29 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
    2008-04-24 15:29 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
    2008-04-24 15:29 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
    2008-04-24 15:29 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
    2008-04-24 15:29 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
    2008-04-24 15:27 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
    2008-04-24 15:27 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
    2008-04-24 15:24 54,784 ----a-w C:\Windows\system32\drivers\i8042prt.sys
    2008-04-24 15:24 495,160 ----a-w C:\Windows\system32\drivers\Wdf01000.sys
    2008-04-24 15:24 35,384 ----a-w C:\Windows\system32\drivers\WdfLdr.sys
    2008-04-24 15:24 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys
    2008-04-24 15:24 34,360 ----a-w C:\Windows\system32\drivers\mouclass.sys
    2008-04-24 15:24 19,968 ----a-w C:\Windows\system32\drivers\sermouse.sys
    2008-04-24 15:24 15,872 ----a-w C:\Windows\system32\drivers\mouhid.sys
    2008-04-24 15:24 15,872 ----a-w C:\Windows\system32\drivers\kbdhid.sys
    2008-04-24 15:23 82,432 ----a-w C:\Windows\system32\drivers\sdbus.sys
    2008-04-24 15:21 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
    .

    ------- Sigcheck -------

    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-02-27 11:26 90191]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3fhg"= mp3fhg.acm
    "msacm.divxa32"= divxa32.acm
    "VIDC.X264"= x264vfw.dll
    "VIDC.HFYU"= huffyuv.dll
    "vidc.i263"= i263_32.drv
    "VIDC.YV12"= yv12vfw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
    "{E5F43445-7908-4DF4-B4DC-A5FC3E6D0CDC}"= UDP:C:\Program Files\HP\QuickPlay\QP.exe:QP
    "{205972F0-6F61-4F1F-B6B3-7BC462F19BA9}"= TCP:C:\Program Files\HP\QuickPlay\QP.exe:QP
    "TCP Query User{7C1B524E-D5EF-456A-A777-2F7BA719D780}C:\\program files\\metin2_france\\metin2.bin"= UDP:C:\program files\metin2_france\metin2.bin:metin2
    "UDP Query User{25340435-796D-413E-B145-F09EE42409D7}C:\\program files\\metin2_france\\metin2.bin"= TCP:C:\program files\metin2_france\metin2.bin:metin2
    "{C304160D-2C3F-43FA-B59A-8BD5FEC0AF28}"= UDP:C:\Program Files\GrabIt\GrabIt.exe:GrabIt
    "{A63797F4-3B15-4FA7-9244-E783532DCF0F}"= TCP:C:\Program Files\GrabIt\GrabIt.exe:GrabIt
    "{36C9037E-2923-455A-9848-2E22779DA4A6}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
    "{24482AD6-8FB6-462A-BAE2-126E6DE03824}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
    "{1CE5DEEE-C049-4885-A57C-DF6225BB01B3}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
    "{C0926459-E02B-4464-89FF-D52C2242659E}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
    "{6EF2ED88-3731-4FE7-BE44-2C464E4C3215}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
    "{D69A3694-94A4-4943-A196-1E6BF8BEDAF7}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
    "{308F1882-5BEA-40A4-907D-017598AC6FBA}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
    "{315789D8-14B6-433E-85B3-E2FA2EB7C69F}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
    "TCP Query User{4569887C-0A1E-4187-804D-5D5C354C06CB}C:\\program files\\metin2.us\\metin2.bin"= UDP:C:\program files\metin2.us\metin2.bin:metin2
    "UDP Query User{C170B485-C26F-4FEF-8240-0F14CC639110}C:\\program files\\metin2.us\\metin2.bin"= TCP:C:\program files\metin2.us\metin2.bin:metin2

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
    "EnableFirewall"= 0 (0x0)

    R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-05-16 01:20]
    R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
    R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-05-16 01:18]
    R3 CnxtHdAudService;Conexant UAA Function Driver for High Definition Audio Service;C:\Windows\system32\drivers\CHDRT32.sys [2008-03-03 05:10]
    R3 nvsmu;nvsmu;C:\Windows\system32\DRIVERS\nvsmu.sys [2006-09-15 10:44]
    S3 BCM43XV;Pilote de la carte réseau extensible Broadcom 802.11;C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-17 18:20]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    bthsvcs REG_MULTI_SZ BthServ

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{683be455-173f-11dd-89cb-001636f892a3}]
    \shell\Auto\command - H:\Start.exe
    \shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\Start.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-04-25 15:26:22 C:\Windows\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2008\OneClick.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-24 21:25:36
    Windows 6.0.6000 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\System32\audiodg.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\Program Files\Common Files\microsoft shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\drivers\XAudio.exe
    C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\dllhost.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-24 21:27:37 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-24 19:27:26

    Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
    Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.

    211 --- E O F --- 2008-04-25 01:08:25
    0
  14. krysman25
     
    Voila le rapport d'Hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:35:51, on 24/05/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16643)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Windows\Explorer.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O13 - Gopher Prefix:
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
    O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
    O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...

    O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

    _________________

    colle un rapport hijakchits: renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."

    _____________________

    encore des problèmes???
    0
  16. krysman25
     
    J'ai refait un rapport en renommant le fichier en Hijackchits ;) mais apparemment ca va car Avast ne crie plus^^
    Je relance quand même un scan....

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 01:28:26, on 25/05/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16643)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\GrabIt\GrabIt.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O13 - Gopher Prefix:
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
    O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
    O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
    O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
    0
  17. krysman25
     
    Erf le trojan Vundo@dll c'est calé dans le dossier de Hijackthis...., plus precisemment dans C:/Programfiles/trendmicro!

    Que faire?
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      krysman25 bonjour, excuse moi mais je voudrais savoir comment tu vois "Erf le trojan Vundo@dll c'est calé dans le dossier de Hijackthis...., plus precisemment dans C:/Programfiles/trendmicro! " car ta lecture m'intéresse, je voulais passer par le message personel mais tu es "utilisateur anonyme" dommage
      0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui j'aimerais aussi comprendre ce que tu dis

    pour protéger gratos ton ordi

    http://www.commentcamarche.net/telecharger/logiciel 4 securite

    mettre un antivirus

    AVAST en français ou ANTIVIR (en anglais mais très efficace)
    https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
    -------------
    des anti-espions :
    MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot et ordi assez puissant:
    WINDOWS DEFENDER ou SPYWARE TERMINATOR

    +
    SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

    Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
    --------
    un pare feu :
    celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

    http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

    https://forum.pcastuces.com/sujet.asp?f=25&s=35606
    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
    https://manuelsdaide.com/contact/
    http://www.open-files.com/forum/index.php?showtopic=29277
    http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

    -----------
    CCLEANER pour effacer les traces de surf
    ---------
    naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
    http://www.mozilla-europe.org/fr/products/firefox/
    0
  19. krysman25
     
    Hé bien en fait j'ai fait une analyse du systeme32, la ou le trojan etait au debut et aucune trace de lui!

    Alors j'ai pensé aux propos de Jlpjlp qui me disait de changer le nom du programme HIjackthis car le trojan pouvait se placer dedans! alors j'ai effectué une analyse de ce dossier dans C:/programfiles/trendmicro

    A moins que tu parles de mon expression?je me susi mal exprimé? je voulais dire :

    Le trojan Vundo@dll est maintenant caché dans le repertoire de trendmicro et plus dans le dossier System32
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    eh bien vire les fichiers inféctés qui sont dedans:

    C:/programfiles/trendmicro

    quel logiciel te trouve ces infections?
    0
  • 1
  • 2