Cheval de troie: win32:vundo@dll

boun -  
 boun -
Bonjour,
Voilà, j'ai un cheval de troie dans mon pc qui empeche le bon fonctionnement de celui ci. Comme indiqué dans le titre, ce cheval porte le nom de " win32:vundo@dll ". j'ai fait un screenshot de mon ecran lorsque le virus a été détecté par mon antivirus, je vous le fait parvenir: [URL=https://www.imagup.com/tag/dog-the-bounty-hunter/][IMG]http://imgs.imagup.com/member2/1210942906_Sans titre.JPG[/IMG][/URL]

j'espere avoir apporté le plus de précision possible pour pouvoir eradiqué ce virus, merci d'avance
Configuration: Windows XP
Firefox 2.0.0.14

8 réponses

  1. eZula Messages postés 3509 Statut Contributeur 392
     
    Bonjour,

    télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    0
    1. boun
       
      merci beaucoup

      voilà le rapport:

      Rapport GenProc 1.967 [1] effectué le lun. 05/26/2008 à 15:25:12.54 - Windows XP

      # Etape 1/ Télécharge :

      - CCleaner https://www.ccleaner.com/ccleaner/download
      Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

      - Brute Force Uninstaller (Merijn) http://www.merijn.org/files/bfu.zip et décompresse-le sur ton bureau. Fais un clic droit de souris sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu et choisis "Enregistrer la cible (du lien) sous" afin de télécharger le script WinSoftware.bfu que tu placeras à côté de l'icône en forme de boule noire dentée bfu.exe.

      - MSNFix.zip (!aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.


      ***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "bunna") *****


      # Etape 2/

      Double-clique sur le fichier BFU.exe en forme de boule noire dentée, sur ton bureau. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptfile to execute", et double-clique sur le fichier Winsoftware.bfu qui devrait apparaître.
      - Dans la boîte "Script to execute", tu devrais maintenant voir le chemin complet du fichier Winsoftware.bfu, clique sur "Execute" et laisse-le faire son travail. La réussite de l'opération sera obligatoirement sanctionnée par un message final "Complete script execution", si ce n'est pas le cas, il faudra le signaler. Clique sur OK, puis exit pour fermer le programme BFU.
      Recommence encore une fois.

      # Etape 3/

      Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
      - Exécute l'option R.
      - Si l'infection est détectée, exécute l'option N.
      - Sauvegarde ce rapport sur ton bureau.

      # Etape 4/

      Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

      # Etape 5/

      Redémarre normalement et poste, dans la même réponse :
      - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
      - Le contenu du rapport MSNfix situé sur le Bureau ;


      Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
      0
      1. boun > boun
         
        ouah c'est cool, dois-je suivre toutes les étapes indiqués ci-dessus?
        0
  2. eZula Messages postés 3509 Statut Contributeur 392
     
    attends. on ne voit pas l'image que tu as postée, où le virus a-t-il été détecté ?
    0
    1. boun
       
      le virus a été détecté ici: C:\WINDOWS\system32\nnnKdDsR.dll
      0
  3. eZula Messages postés 3509 Statut Contributeur 392
     
    Dans un premier temps, suis effectivement la procédure donnée par GenProc. Ensuite fais ceci :

    # Etape 1/ Télécharge :

    - VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

    - combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

    ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "~Emilie~") *****

    # Etape 2/

    * Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
    Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

    * Double clique combofix.exe.
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste :
    - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
    - Le contenu du rapport situé dans C:\vundofix.txt ;
    - Le contenu du rapport situé dans C:\Combofix.txt ;
    0
    1. boun
       
      Bon voilà j'ai tout fini :D , je poste le rapport HijackThis:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:51:46, on 5/26/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
      C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\bunna\Bureau\HiJackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: AbsoluteTransfer module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Program Files\AbsoluteTransfer\AbsoluteTransfer.dll
      O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: (no name) - {BCBEB0EB-744A-4F05-99A5-636B721C318E} - C:\WINDOWS\system32\ssqNEwUL.dll
      O3 - Toolbar: atfxqogp - {AC9264CC-124E-43B6-9144-8664D704A0BC} - C:\WINDOWS\atfxqogp.dll
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
      O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
      O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{A6C48C58-B3BB-4977-B3FC-FAD79801C1CF}: NameServer = 212.27.53.252
      O20 - Winlogon Notify: ssqNEwUL - C:\WINDOWS\SYSTEM32\ssqNEwUL.dll
      O21 - SSODL: vltdfabw - {173D3C28-702D-4095-9A9B-C3F927599510} - (no file)
      O21 - SSODL: vregfwlx - {12213B59-A14A-4AFA-86A0-3CEFCD0BE6B5} - C:\WINDOWS\vregfwlx.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
      O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
      0
  4. eZula Messages postés 3509 Statut Contributeur 392
     
    On va s'y prendre en trois temps

    1. Cliquez sur le lien pour aller sur le site Web de Microsoft https://support.microsoft.com/en-us/help/310994
    2. Sur cette page, descendez jusqu'à "Téléchargement du fichier programme des disquettes d'installation" et cliquez sur le téléchargement correspondant à votre version de Windows XP (Édition familiale ou Professionnel) et au Service Pack que vous avez installé. Lorsque vous avez cliqué sur le lien de téléchargement du fichier, vérifiez que ce dernier sera enregistré directement sur votre Bureau. Si vous ignorez quelle est la version de Windows et quel Service Pack est installé, vous pouvez suivre ces instructions de façon à obtenir ces informations:

    1. Cliquez sur le bouton Démarrer.
    2. Cliquez sur l'option de menu Exécuter.
    3. Dans le champ Ouvrir: tapez ce qui suit: sysdm.cpl puis cliquez sur le bouton OK.
    4. Il y a ouverture d'une fenêtre affichant des informations sur votre installation. Dans le paragraphe Système: vous devez voir votre version de Windows ainsi que le Service Pack installé. Après avoir retrouvé ces informations, vous pouvez continuer et reprendre à l'Étape 2.

    3. Après la fin du téléchargement du fichier Microsoft, vous devez faire glisser ce fichier sur l'icône de ComboFix et le déposer en relâchant le bouton de la souris. Comme le montre l'image http://img.bleepingcomputer.com/combofix/usage/rc.gif

    4. ComboFix va maintenant installer automatiquement la Console de Récupération Windows sur votre ordinateur, et celle-ci s'affichera en tant que nouvelle option au démarrage de votre ordinateur. Ne choisissez pas l'option Console de Récupération Windows lorsque vous faites démarrer votre ordinateur, sauf si cela vous est demandé par un conseiller.

    ---------------------------------------------------------------------------------------------

    1. Ceci étant fait, crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    C:\WINDOWS\vregfwlx.dll
    C:\WINDOWS\atfxqogp.dll
    C:\WINDOWS\xmpstean.exe
    C:\WINDOWS\etkq.exe
    C:\WINDOWS\system32\ssqNEwUL.dll
    
    Folder::
    C:\VundoFix Backups
    C:\Program Files\AbsoluteTransfer
    
    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18CB1A7B-94CD-4582-8022-ADA16851E44B}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BCBEB0EB-744A-4F05-99A5-636B721C318E}]
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{BCBEB0EB-744A-4F05-99A5-636B721C318E}"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqNEwUL]
    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000000


    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture [img]http://img.photobucket.com/albums/v666/sUBs/CFScript.gif/img
    [*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
    [*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    [*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    2. Dans la même réponse : télécharge SmitfrauFix (S!Ri) http://siri.urz.free.fr/Fix/SmitfraudFix.exe
    * double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le
    0
    1. boun
       
      voici le rapport combofix:

      ComboFix 08-05-25.4 - bunna 2008-05-26 18:18:00.3 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.72 [GMT 2:00]
      Endroit: C:\Documents and Settings\bunna\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\bunna\Bureau\CFScript.txt
      * Création d'un nouveau point de restauration

      FILE ::
      C:\WINDOWS\atfxqogp.dll
      C:\WINDOWS\etkq.exe
      C:\WINDOWS\system32\ssqNEwUL.dll
      C:\WINDOWS\vregfwlx.dll
      C:\WINDOWS\xmpstean.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Program Files\AbsoluteTransfer
      C:\Program Files\AbsoluteTransfer\AbsoluteTransfer.dll
      C:\Program Files\AbsoluteTransfer\uninstall.dat
      C:\Program Files\AbsoluteTransfer\Uninstall.exe
      C:\VundoFix Backups
      C:\WINDOWS\atfxqogp.dll
      C:\WINDOWS\etkq.exe
      C:\WINDOWS\system32\ssqNEwUL.dll
      C:\WINDOWS\vregfwlx.dll
      C:\WINDOWS\xmpstean.exe

      .
      ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-26 to 2008-05-26 ))))))))))))))))))))))))))))))))))))
      .

      2008-05-26 16:03 . 2008-05-26 16:03 <REP> d-------- C:\Program Files\CCleaner
      2008-05-26 13:39 . 2007-12-16 05:44 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
      2008-05-26 13:39 . 2007-12-16 05:44 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
      2008-05-26 13:39 . 2007-12-16 04:51 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
      2008-05-26 13:39 . 2007-12-16 05:44 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
      2008-05-26 13:39 . 2007-12-16 05:44 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
      2008-05-26 13:39 . 2007-12-16 05:44 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
      2008-05-26 13:39 . 2007-12-16 05:44 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
      2008-05-26 13:39 . 2008-05-26 13:39 <REP> d-------- C:\Documents and Settings\Administrateur
      2008-05-26 12:39 . 2008-05-26 12:39 <REP> d-------- C:\Documents and Settings\bunna\Application Data\Open XML Editor
      2008-05-26 12:31 . 2008-05-26 12:31 <REP> d-------- C:\WINDOWS\Downloaded Installations
      2008-05-26 12:30 . 2007-03-12 23:34 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
      2008-05-26 12:30 . 2007-03-12 23:34 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
      2008-05-26 12:30 . 2007-03-12 23:34 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
      2008-05-26 01:02 . 2008-05-26 01:35 <REP> d-------- C:\Program Files\mTC
      2008-05-25 18:53 . 2008-05-25 19:08 139,264 --a------ C:\WINDOWS\War3Unin.exe
      2008-05-25 18:53 . 2008-05-25 19:11 80,598 --a------ C:\WINDOWS\War3Unin.dat
      2008-05-25 18:53 . 2008-05-25 19:08 2,829 --a------ C:\WINDOWS\War3Unin.pif
      2008-05-25 18:49 . 2008-05-25 20:42 <REP> d-------- C:\Program Files\Warcraft III
      2008-05-06 18:52 . 2008-05-06 18:52 <REP> d-------- C:\Program Files\Guitar Pro 5
      2008-05-03 15:01 . 2008-05-03 15:01 <REP> d-------- C:\WINDOWS\Sun
      2008-05-03 15:00 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
      2008-05-03 14:59 . 2008-05-03 15:00 <REP> d-------- C:\Program Files\Java
      2008-05-03 14:58 . 2008-05-03 14:58 <REP> d-------- C:\Program Files\Fichiers communs\Java

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-05-26 11:46 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
      2008-05-26 10:13 --------- d--h--w C:\Program Files\Nouveau dossier
      2008-05-25 23:35 --------- d-----w C:\Program Files\Sony Ericsson
      2008-05-21 00:58 --------- d-----w C:\Program Files\mIRC
      2008-05-18 10:08 --------- d-----w C:\Documents and Settings\bunna\Application Data\FileZilla
      2008-04-20 10:56 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf
      2008-04-20 10:55 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
      2008-04-20 10:50 1,419,232 ----a-w C:\WINDOWS\system32\wdfcoinstaller01005.dll
      2008-04-20 10:49 20,520 ----a-w C:\WINDOWS\system32\drivers\ggsemc.sys
      2008-04-20 10:49 13,352 ----a-w C:\WINDOWS\system32\drivers\ggflt.sys
      2008-04-20 10:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
      2008-04-18 14:31 --------- d-----w C:\Program Files\AviSynth 2.5
      2008-04-18 14:30 --------- d-----w C:\Program Files\eRightSoft
      2008-04-17 01:01 --------- d-----w C:\Program Files\Raveille
      2008-04-15 10:34 --------- d-----w C:\Program Files\Dofus
      2008-04-10 20:07 --------- d-----w C:\Program Files\BitComet
      2008-03-26 22:09 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
      2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
      2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
      2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
      2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
      2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
      .

      ((((((((((((((((((((((((((((( snapshot@2008-05-26_16.44.02.68 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-05-26 14:23:25 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      + 2008-05-26 16:22:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      + 2008-05-26 16:22:29 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_510.dat
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{AC9264CC-124E-43B6-9144-8664D704A0BC}"= "C:\WINDOWS\atfxqogp.dll" [ ]

      [HKEY_CLASSES_ROOT\clsid\{ac9264cc-124e-43b6-9144-8664d704a0bc}]
      [HKEY_CLASSES_ROOT\atfxqogp.1]
      [HKEY_CLASSES_ROOT\TypeLib\{5CB86AF0-EBB2-4FEA-A255-2D45144CFE36}]
      [HKEY_CLASSES_ROOT\atfxqogp]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SoundMan"="SOUNDMAN.EXE" [2003-04-24 17:53 54784 C:\WINDOWS\SOUNDMAN.EXE]
      "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoInstrumentation"= 0 (0x0)

      [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\[u]0/u]
      Source= file:///C:\WINDOWS\privacy_danger\index.htm
      FriendlyName= Privacy Protection

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      "vregfwlx"= {12213B59-A14A-4AFA-86A0-3CEFCD0BE6B5} - C:\WINDOWS\vregfwlx.dll [ ]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "vidc.I420"= i420vfw.dll
      "VIDC.YV12"= yv12vfw.dll

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nsW61.sys]
      @="Driver"

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
      --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
      --a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
      C:\Program Files\Winamp\winampa.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\BitComet\\BitComet.exe"=
      "C:\\Program Files\\Messenger\\msmsgs.exe"=
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "C:\\Program Files\\mIRC\\mirc.exe"=
      "C:\\Program Files\\Shareaza\\Shareaza.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "21368:TCP"= 21368:TCP:BitComet 21368 TCP
      "21368:UDP"= 21368:UDP:BitComet 21368 UDP
      "7249:TCP"= 7249:TCP:BitComet 7249 TCP
      "7249:UDP"= 7249:UDP:BitComet 7249 UDP

      R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
      R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
      S0 nsW61;nsW61;C:\WINDOWS\system32\Drivers\nsW61.sys []
      S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 12:35]
      S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-04-20 12:49]
      S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 18:57]
      S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 18:58]
      S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 18:59]

      .
      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-05-26 18:23:04
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cach‚s ...

      Balayage cach‚ autostart entries ...

      Balayage des fichiers cach‚s ...

      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
      C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-05-26 18:30:21 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-05-26 16:30:13
      ComboFix2.txt 2008-05-26 16:14:37
      ComboFix3.txt 2008-05-26 14:45:48

      Pre-Run: 48,533,790,720 octets libres
      Post-Run: 48,520,859,648 octets libres

      185 --- E O F --- 2008-05-16 22:18:35


      et voici le rapport smitfraudfix:


      SmitFraudFix v2.322

      Rapport fait à 18:37:14.73, lun. 05/26/2008
      Executé à partir de C:\Documents and Settings\bunna\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bunna


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bunna\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\bunna\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
      "SubscribedURL"=""
      "FriendlyName"="Privacy Protection"

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"

      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 212.27.53.252
      DNS Server Search Order: 212.27.54.252

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{72A06F36-A3CF-4502-AEBC-F5C3B53D6C8D}: DhcpNameServer=212.27.53.252 212.27.54.252
      HKLM\SYSTEM\CCS\Services\Tcpip\..\{A6C48C58-B3BB-4977-B3FC-FAD79801C1CF}: NameServer=212.27.53.252
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{72A06F36-A3CF-4502-AEBC-F5C3B53D6C8D}: DhcpNameServer=212.27.53.252 212.27.54.252
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{A6C48C58-B3BB-4977-B3FC-FAD79801C1CF}: NameServer=212.27.53.252
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{72A06F36-A3CF-4502-AEBC-F5C3B53D6C8D}: DhcpNameServer=212.27.53.252 212.27.54.252
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{A6C48C58-B3BB-4977-B3FC-FAD79801C1CF}: NameServer=212.27.53.252
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. eZula Messages postés 3509 Statut Contributeur 392
     
    1.Passe ce script encore :

    Folder::
    C:\WINDOWS\privacy_danger
    
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{AC9264CC-124E-43B6-9144-8664D704A0BC}"=-
    [-HKEY_CLASSES_ROOT\clsid\{ac9264cc-124e-43b6-9144-8664d704a0bc}]
    [-HKEY_CLASSES_ROOT\atfxqogp.1]
    [-HKEY_CLASSES_ROOT\TypeLib\{5CB86AF0-EBB2-4FEA-A255-2D45144CFE36}]
    [-HKEY_CLASSES_ROOT\atfxqogp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]­
    "vregfwlx"=-


    2.fais ce scan en ligne (coche toutes les cases à chaque fois) https://www.eset.com/
    A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
    0
    1. boun
       
      voilà le rapport:


      # version=4
      # OnlineScanner.ocx=1.0.0.56
      # OnlineScannerDLLA.dll=1, 0, 0, 51
      # OnlineScannerDLLW.dll=1, 0, 0, 51
      # OnlineScannerUninstaller.exe=1, 0, 0, 49
      # vers_standard_module=3132 (20080526)
      # vers_arch_module=1.064 (20080214)
      # vers_adv_heur_module=1.064 (20070717)
      # EOSSerial=a7e211ef10f1a743afa85a96303e559e
      # end=finished
      # remove_checked=true
      # unwanted_checked=true
      # utc_time=2008-05-26 05:45:07
      # local_time=2008-05-26 07:45:07 (+0100, Paris, Madrid)
      # country="France"
      # osver=5.1.2600 NT Service Pack 2
      # scanned=185713
      # found=1
      # scan_time=2338
      C:\QooBox\Quarantine\C\Program Files\AbsoluteTransfer\AbsoluteTransfer.dll.vir Win32/BHO.NEB trojan (unable to clean - deleted) 00000000000000000000000000000000
      0
  7. eZula Messages postés 3509 Statut Contributeur 392
     
    * Pour terminer, utilise ToolsCleaner! (de A.Rothstein) http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe pour nettoyer les utilitaires téléchargés, désactiver la restauration système et la réactiver après un redémarrage.

    * Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
    * Utilise hebdomadairement ce petit programme http://filehippo.com/updatechecker/UpdateChecker.exe pour effectuer tes mises à jour logicielles. Il suffit de le lancer (aucune installation n'est requise). Les liens des mises à jour disponibles apparaitront alors dans une page web. Conseil : n'installe pas les version "beta".
    * N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)

    * A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas

    * Note importante : il est fortement conseillé d'utiliser un compte limité pour une utilisation classique d'un ordinateur afin de minimiser très siginificativement les risques d'infection.
    Mode d'emploi : https://www.microsoft.com/de-ch

    à+
    0
  8. boun
     
    Merci beaucoup, en effet je n'ai plus de problème, je vais marquer le sujet comme résolu et merci pour tes conseils, je les suivrai :D bonne soirée
    0
    1. boun
       
      lol bon je crois que je vais passer pour un boulet mais comment fait on pour marquer le sujet comme résolu? xD
      0
  9. eZula Messages postés 3509 Statut Contributeur 392
     
    dans ta prochaine réponse, regarde attentivement, je crois qu'il y a la possibilité de cocher "marquer résolu"
    0
    1. boun
       
      jai bien regardé pendant une bonne dizaine de minutes mais je ne vois toujours pas O_o

      DOit-on le signaler aux modérateurs pour qu'ils puissent marquer le probleme comme résolu?
      0