Sujet Précédent Sujet Suivant

Pc infecté par win32 vundrop+autres problèmes

Résolu
frederieb Messages postés 209 Statut Membre -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,

depuis 2 jours, mon anti virus (avast) me signale une "attaque" d' 1 dropper : win32 vundrop, dès que j' allume mon pc et ceci, plusiurs fois par heure, il me dit où est le fichier infecté, je le supprime, mais cela revient toujours.

Depuis hier, j' ai, en plus, ce message (de mon anti virus) : bouclier réseau : DCOM exploit bloqué.

Mon PC est très lent, se coupe d'internet tout seul, je ne peux plus l' éteindre (hier il n' y avait même plus "arrêter" d' écrit).

Hier, j' ai eu un compte à rebours d' 1 minute, me disant que le système allait s'arrêter, mais au bout de la minute : rien

Voilà, je pense avoir résumé au mieux la situation.

Ce que j' ai fait :

- spybot
- ccleaner
- analyser en ligne sur secuser : rien trouvé

tout ça en désactivant la restauration du système

si quelqu' un peut m' aider, merci
A voir également:

165 réponses

Précédent
Réponse 101 / 165
frederieb Messages postés 209 Statut Membre
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:47:59, on 01/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\FREDERIE\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dbsarticles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tele2internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpothb07.dat
O4 - Global Startup: hpothb07.tif
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E35E0F0-2E8D-4DAF-9AFD-693BCE880A7D}: NameServer = 84.103.237.144 86.64.145.144
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINDOWS\System32\urdvxc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
0
Réponse 102 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

ca l´a fait ;-)

mais y a un service qui est venu s´incruster maintenant !

Copie le texte ci-dessous :

File::
C:\WINDOWS\System32\urdvxc.exe

Driver::
MSWindows

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

on va y arriver !

@+
0
Réponse 103 / 165
frederieb Messages postés 209 Statut Membre
 
ok, merci
0
Réponse 104 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
de rien

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 105 / 165
frederieb Messages postés 209 Statut Membre
 
ComboFix 08-05-29.1 - FREDERIE 2008-06-01 23:00:40.6 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.259 [GMT 2:00]
Endroit: C:\Documents and Settings\FREDERIE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\FREDERIE\Bureau\CFScript.txt..txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\System32\urdvxc.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\System32\urdvxc.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSWINDOWS
-------\Service_MSWindows

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-01 to 2008-06-01 ))))))))))))))))))))))))))))))))))))
.

2008-06-01 13:19 . 2008-06-01 13:19 <REP> d-------- C:\Deckard
2008-06-01 11:06 . 2008-06-01 11:06 <REP> d-------- C:\Program Files\CleanUp!
2008-06-01 09:48 . 2008-06-01 09:48 <REP> d-------- C:\Program Files\Avira
2008-06-01 09:38 . 2008-06-01 09:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-30 19:27 . 2008-05-30 19:27 <REP> d-------- C:\_OTMoveIt
2008-05-30 11:07 . 2008-05-30 11:08 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-30 10:03 . 2008-05-31 15:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 10:03 . 2008-05-30 10:03 <REP> d-------- C:\Documents and Settings\FREDERIE\Application Data\Malwarebytes
2008-05-29 13:08 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\LPT$VPN.307
2008-05-29 13:05 . 2008-05-29 13:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-29 12:55 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\VPTNFILE.307

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 18:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-06-01 17:28 --------- d-----w C:\Program Files\Google
2008-06-01 11:13 --------- d-----w C:\Program Files\MioNet
2008-06-01 09:08 --------- d-----w C:\Program Files\AtomixMP3
2008-05-30 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-29 19:43 --------- d-----w C:\Documents and Settings\FREDERIE\Application Data\gtk-2.0
2008-05-29 11:07 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-29 11:07 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-29 10:55 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
2008-05-29 10:55 333,576 ----a-w C:\WINDOWS\tsc.exe
2008-05-29 10:33 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-29 10:33 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-29 10:33 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-04-21 08:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2004-03-10 21:00 903,100 ----a-w C:\Program Files\cdjaquette_5.zip
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((( snapshot@2008-06-01_10.42.25,40 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-01 08:35:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-01 21:03:54 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2007-03-13 08:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-01 07:55:29 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-01 19:38:39 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-06-01 07:55:29 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-06-01 19:38:39 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-06-01 17:42:16 21,837 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\30JRKSD2\mmdmm[1].exe
+ 2008-06-01 14:32:05 9,791 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\AO1B4V2A\mmdmm[1].exe
+ 2008-06-01 14:08:37 9,791 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ATYN4NRO\mmdmm[1].exe
+ 2008-06-01 15:27:46 9,791 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\ATYN4NRO\mmdmm[2].exe
- 2008-06-01 07:55:29 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-01 19:38:39 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-01 09:53:51 27,907 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9ANO96R\mixit[1].exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 188,416 2003-06-20 10:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\bak\ECB-BP.exe
----a-w 188,416 2003-06-20 09:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe

----a-w 146,432 2003-12-08 16:44:59 C:\Program Files\Fichiers communs\Real\Update_OB\bak\evntsvc.exe

----a-w 171,448 2007-01-25 16:45:26 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe

----a-w 77,824 2004-01-11 17:48:56 C:\Program Files\QuickTime\bak\qttask.exe

.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-01 19:27 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 11:59 88107 C:\WINDOWS\AGRSMMSG.exe]
"AdslTaskBar"="stmctrl.dll" [2003-09-19 13:24 151552 C:\WINDOWS\system32\stmctrl.dll]
"eCarteBleue-BP"="C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" [2003-06-20 11:09 188416]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-02-11 02:03 13312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 0 (0x0)
"SpecifyDefaultButtons"= 0 (0x0)
"Btn_Search"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\DVLib\sonydv.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PrecSim;PrecSim;C:\WINDOWS\System32\DRIVERS\precsim.sys [2002-05-22 00:00]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf" []
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2003-09-19 13:24]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2003-09-19 13:24]
S3 SPC610NC;Philips SPC500NC Webcam;C:\WINDOWS\System32\DRIVERS\SPC610NC.SYS [2005-10-13 17:41]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys [2006-03-13 16:50]
S4 AVWUpSrv;AntiVir Update;C:\Program Files\AVPersonal\AVWUPSRV.EXE []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 23:04:20
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\incdsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-01 23:12:55 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-01 21:12:49
ComboFix2.txt 2008-06-01 20:45:47
ComboFix3.txt 2008-06-01 10:28:02
ComboFix4.txt 2008-06-01 09:47:21
ComboFix5.txt 2008-06-01 08:45:07

Pre-Run: 2,863,812,608 octets libres
Post-Run: 2,821,373,952 octets libres

151
0
Réponse 106 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

post le nouveau rapport hijack this stp

@+
0
Réponse 107 / 165
frederieb Messages postés 209 Statut Membre
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:18, on 01/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\FREDERIE\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dbsarticles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tele2internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpothb07.dat
O4 - Global Startup: hpothb07.tif
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E35E0F0-2E8D-4DAF-9AFD-693BCE880A7D}: NameServer = 84.103.237.148 86.64.145.148
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
0
Réponse 108 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

a l´aide de hijack this coche et fix :

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

puis

important :

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0

https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

et pourquoi ne pas surfer avec firefox? = plus sur, tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.mozilla-europe.org/fr/

plugins : ad block plus, no script ect...

https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

puis

fais un scan complet de ta machine en mode sans echec avec antivir et post son rapport

voici les reglages que tu va appliquer avant de le lancer :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

c´est long certe mais...

bon courrage

@ demain`
0
Réponse 109 / 165
frederieb Messages postés 209 Statut Membre
 
merci

a l´aide de hijack this coche et fix :

je viens de le faire
0
Réponse 110 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
de rien`
@+
0
Réponse 111 / 165
frederieb Messages postés 209 Statut Membre
 
pour explorer, la personne qui m' a aidé avant toi me l' a dit, mais je n' arrive pas à télécharger l' autre version, cela me disait

cette installation ne prend pas en charge la version actuelle du service pack de votre système d'exploitation

si je vais sur le lien que tu viens de me donner, je ne peux pas cliquer sur "télécharger"
0
Réponse 112 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
je voie,

tu sais on en est rendu au service pack 3 de windows, je sais que des personnes prefere le sp1, en fais tu partie ?

sinon passe au sp2...

http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a

rien que pour avoir la version 7.0 de ie c´est un plus...

@+
0
Réponse 113 / 165
frederieb Messages postés 209 Statut Membre
 
une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur

pas trouvé
0
Réponse 114 / 165
frederieb Messages postés 209 Statut Membre
 
pour Windows, je ne sais pas pourquoi j' ai ça, je ne préfère pas l'un à l'autre, je n' y connais rien, je vais prendre ce que tu m' as dit
0
Réponse 115 / 165
frederieb Messages postés 209 Statut Membre
 
je te remercie encore pour ton aide

pour demain :

- prendre service pack 2 de windows
- prendre IE 7
- scan avec antivir mode sans échec

- voir pour firefox

bonne soirée
0
Réponse 116 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
ok

rootkit search > click sur l´onglet local protection puis sur sacnner la tu vas le voir vers le bas, tu le developpe avec le petit + et coche la case devant ton disque dur

jolie programme pour demain ;-)

Bonne soirée egalement ;)

@+
0
frederieb Messages postés 209 Statut Membre
 
ok, merci, j' ai trouvé, j' ai 2 disques durs, j' ai coché les 2 cases


à demain
0
Réponse 117 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
;-)
0
Réponse 118 / 165
frederieb Messages postés 209 Statut Membre
 
Bonjour

compte rendu de mon matin :

téléchargement du pack 2 de windows : au bout de 2 h, bloqué à 99%, impossible d'avancer plus (j' ai attendu, attendu, j' ai tout éteint)

scan complet avec antivir en mode sans échec

Avira AntiVir Personal
Report file date: lundi 2 juin 2008 12:13

Scanning for 1302620 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Boot mode: Save mode
Username: FREDERIE
Computer name: PCV-RS202

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.4.53 1848832 Bytes 17/05/2008 07:59:09
ANTIVIR3.VDF : 7.0.4.119 378880 Bytes 01/06/2008 07:59:18
Engineversion : 8.1.0.51
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.37 270715 Bytes 01/06/2008 07:59:49
AESCN.DLL : 8.1.0.20 119157 Bytes 01/06/2008 07:59:47
AERDL.DLL : 8.1.0.20 418165 Bytes 01/06/2008 07:59:46
AEPACK.DLL : 8.1.1.5 364918 Bytes 01/06/2008 07:59:43
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 01/06/2008 07:59:39
AEHEUR.DLL : 8.1.0.29 1253750 Bytes 01/06/2008 07:59:37
AEHELP.DLL : 8.1.0.15 115063 Bytes 01/06/2008 07:59:27
AEGEN.DLL : 8.1.0.25 307573 Bytes 01/06/2008 07:59:26
AEEMU.DLL : 8.1.0.6 430451 Bytes 01/06/2008 07:59:23
AECORE.DLL : 8.1.0.30 168311 Bytes 01/06/2008 07:59:20
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: lundi 2 juin 2008 12:13

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'hpgs2wnf.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '50' files ).

Starting the file scan:

Begin scan in 'C:\' <VAIO>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\hjrejrjj.exe
[DETECTION] Contains detection pattern of the worm WORM/Allaple.Gen
[NOTE] The file was moved to '48b5c998.qua'!
C:\Documents and Settings\All Users\Application Data\CyberLink\PowerDVD\HTML\lljkvnxj.exe
[DETECTION] Contains detection pattern of the worm WORM/Allaple.Gen
[NOTE] The file was moved to '48adc9a0.qua'!
C:\Documents and Settings\All Users\Application Data\CyberLink\PowerDVD\HTML\start.htm
[DETECTION] Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen
[NOTE] The file was moved to '48a4c9b1.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\ljJCvsTn.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[NOTE] The file was moved to '488dd5de.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\urdvxc.exe.vir
[DETECTION] Contains detection pattern of the worm WORM/Allaple.Gen
[NOTE] The file was moved to '48a7d5ec.qua'!
C:\WINDOWS\backup\TB040828.DAT
[DETECTION] Is the Trojan horse TR/Dldr.Krepper.3
[NOTE] The file was moved to '4873d655.qua'!
Begin scan in 'D:\' <VAIO>

End of the scan: lundi 2 juin 2008 13:43
Used time: 1:30:19 min

The scan has been done completely.

5457 Scanning directories
290008 Files were scanned
6 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
6 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
290002 Files not concerned
8854 Archives were scanned
1 Warnings
6 Notes
0
Réponse 119 / 165
g!rly Messages postés 18462 Statut Contributeur 406
 
salut fred

c´est bien embetant pour l´installation du pack sp2 ;( je ne sais pas vraiment quoi te dire...

sinon antivir a trouvé pas mal de saloperies...
0
Réponse 120 / 165
frederieb Messages postés 209 Statut Membre
 
je vais essayer de le reprendre, sinon tu me parlais du pack 3, je ne peux pas essayer de passer du 1 au 3?
0