Virus invirable - tout essayé ou presque!

Résolu
ordiman -  
ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour,

j'ai un probleme récurrent avec un virus ou un spyware (enfin en principe rien ne me le garanti). J'ai essayé de le supprimer avec mon antivirus traditionnel norton antivirus 2008, avast, spybot, ccleaner. Parfois chaque logiciel repère plusieurs spywares, mais une fois supprimé, j'ai l'impression qu'il(s) revient(iennent). J'ai téléchargé hijackthis et j'ai fait un scan + rapport. Etant incapable de le déchiffrer, si une bonne âme veut bien m'aider ça m'enlèverait une aiguille du pied.

merci beaucoup

le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:57, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\simon\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {21C433DE-594D-4EF2-A479-CF4698E23D07} - C:\WINDOWS\system32\yayvVOIB.dll (file missing)
O2 - BHO: {9d52c3e8-3694-33c9-5594-afd1a3795ee3} - {3ee5973a-1dfa-4955-9c33-49638e3c25d9} - C:\WINDOWS\system32\fghwqdfq.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {7719BE2E-3276-43D2-B9E9-BBC8D28722AB} - C:\WINDOWS\system32\ddcArRjJ.dll (file missing)
O2 - BHO: (no name) - {79E81AC0-AEE4-43CE-9BEA-EF9F427DFBEC} - C:\WINDOWS\system32\khfccDtt.dll (file missing)
O2 - BHO: (no name) - {8F07B042-13D7-4A8D-B6C2-2F6A94E1CDC9} - C:\WINDOWS\system32\opnNeddc.dll (file missing)
O2 - BHO: (no name) - {9CAB09D5-6AE6-4EE8-8085-8E5F03789445} - (no file)
O2 - BHO: (no name) - {F0E738CA-4E59-446F-B34A-6BC26FB2C735} - C:\WINDOWS\system32\efcYRIba.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [80027c18] rundll32.exe "C:\WINDOWS\system32\fqardpom.dll",b
O4 - HKLM\..\Run: [BM83314f84] Rundll32.exe "C:\WINDOWS\system32\olcdrlav.dll",s
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA744] command /c del "C:\WINDOWS\system32\khfccDtt.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC172] cmd /c del "C:\WINDOWS\system32\khfccDtt.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [SpybotDeletingB5394] command /c del "C:\WINDOWS\system32\khfccDtt.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7505] cmd /c del "C:\WINDOWS\system32\khfccDtt.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O20 - Winlogon Notify: efcYRIba - C:\WINDOWS\SYSTEM32\efcYRIba.dll
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 6812 bytes
Configuration: Windows XP
Firefox 3.0

12 réponses

  1. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonsoir

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec

    ------
    = Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

    Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
    -------

    = Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    = Appuie sur Y pour commencer le processus de nettoyage.
    = Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    = Appuie sur une touche pour redémarrer le PC.
    = Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    = Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    = Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    = Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    = Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse

    ensuite

    Télécharge malwarebytes
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    Une aide pour l'installation
    http://www.swl1f.net/viewtopic.php?f=14&t=68

    => Installe le
    => Ensuite va en mode sans echec

    Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel

    => Lance malwarebytes
    => Coche "Executer un examen complet"
    => Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
    => Clique sur Supprimer la sélection
    => Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
    => Fait copier coller et poste le rapport

    --------------------------

    ensuite

    * Télécharge CCleaner
    https://filehippo.com/download_ccleaner/
    => Aide toi de ce tuto pour l'utiliser
    http://www.swl1f.net/viewtopic.php?f=14&t=69

    --------------------------

    Ensuite refais un nouveau hijack

    @+
    1
  2. ordiman
     
    merci beaucoup pour ton aide ep44. J'ai un probleme avec SDFix. Lorsque je le lance en mode sous échec il reste bloqué sur :"checking running processus and services" du coup je ne suis pas sur qu'il scanne correctement mon ordinateur.

    Y a t il une autre alternative?

    merci
    0
  3. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    re

    laisse le travailler

    et fait le reste
    @+
    0
  4. ordiman
     
    salut ep44, en effet la premiere fois j'aurai du laisser tourner SDFix plus longtemps, j'ai cru à un bug. Donc finalement j'ai fait tout dans les règles de l'art SDFix, malwarebytes, ccleaner et j'ai fini par hijack this. Malwarebytes a trouvé le trojan vundo plusieurs fois. Je poste les 3 rapports en question, cependant je ne pense pas que le problème soit réglé puisque mon ordinateur tourne un peu au ralenti et j'ai eu un pop up de plus. Je comprends pas comment ces trojans peuvent réapparaître. Si tu as une explication je suis preneur.

    merci beaucoup de ton aide en tout cas :)

    Rapport SDFix:

    [b]SDFix: Version 1.196 [/b]
    Run by simon on 24/06/2008 at 01:42

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\DOCUME~1\simon\Bureau\SDFix

    [b]Checking Services [/b]:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\DOCUME~1\simon\LOCALS~1\Temp\media.php - Deleted
    C:\DOCUME~1\simon\LOCALS~1\Temp\media.php.bat - Deleted

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-24 02:32:14
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\ma-config.com\\maconfservice.exe"="C:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
    "C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

    [b]Remaining Files [/b]:

    File Backups: - C:\DOCUME~1\simon\Bureau\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
    Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
    Wed 8 Aug 2007 400 A..H. --- "C:\Program Files\Fichiers communs\Symantec Shared\COH\COH32LU.reg"
    Wed 8 Aug 2007 403 A..H. --- "C:\Program Files\Fichiers communs\Symantec Shared\COH\COHDLU.reg"
    Tue 24 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2006c93acdb066bdfcaef21319037e32\BIT13.tmp"
    Tue 24 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\29c2f3fb5a7e6317d299b7582ff51eb8\BIT12.tmp"
    Tue 24 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5f8bbff06b2da0a7956609cdcd5aa176\BITF.tmp"
    Tue 24 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\65d355385a56c3fa2bfdd7a104ca0c0b\BIT10.tmp"
    Tue 24 Jun 2008 9,174,979 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e43605c24c1590c9b3f6144c850d6e5b\BITE.tmp"
    Tue 24 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e895bb203e07bbdfe868440e8348993a\BIT11.tmp"
    Wed 18 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\06119f7f007fbf3388fb7f012fd2ce49\download\BIT264.tmp"

    [b]Finished![/b]


    Rapport Malwarebytes:


    Malwarebytes' Anti-Malware 1.18
    Version de la base de données: 884

    14:16:17 24/06/2008
    mbam-log-6-24-2008 (14-16-17).txt

    Type de recherche: Examen complet (C:\|F:\|)
    Eléments examinés: 124211
    Temps écoulé: 34 minute(s), 35 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 7
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 18

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\geBrOhHB.dll (Trojan.Vundo) -> Unloaded module successfully.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cd18af91-aa06-4a41-800c-53593226acee} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{cd18af91-aa06-4a41-800c-53593226acee} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0e738ca-4e59-446f-b34a-6bc26fb2c735} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\80027c18 (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM83314f84 (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebrohhb -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebrohhb -> Delete on reboot.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\geBrOhHB.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\BHhOrBeg.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\BHhOrBeg.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ieiwlblx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\xlblwiei.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ydaohnsg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\gsnhoady.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\yuulcfgo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ogfcluuy.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{BB9A3F55-05A3-4002-A302-8BFB9D803E24}\RP10\A0002380.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{BB9A3F55-05A3-4002-A302-8BFB9D803E24}\RP13\A0003407.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{BB9A3F55-05A3-4002-A302-8BFB9D803E24}\RP13\A0003408.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{BB9A3F55-05A3-4002-A302-8BFB9D803E24}\RP13\A0003418.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{BB9A3F55-05A3-4002-A302-8BFB9D803E24}\RP13\A0004611.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\vodysbrx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\tuvUNHAR.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\awtrPijG.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.


    Rapport HiJackThis:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:32:13, on 24/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\rundll32.exe
    F:\logiciels\sécurité internet\HiJackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {21C433DE-594D-4EF2-A479-CF4698E23D07} - (no file)
    O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
    O2 - BHO: (no name) - {7719BE2E-3276-43D2-B9E9-BBC8D28722AB} - (no file)
    O2 - BHO: (no name) - {79E81AC0-AEE4-43CE-9BEA-EF9F427DFBEC} - (no file)
    O2 - BHO: (no name) - {81669920-4F9F-4E5B-95E9-7BE44756888F} - C:\WINDOWS\system32\geBrOhHB.dll
    O2 - BHO: (no name) - {8F07B042-13D7-4A8D-B6C2-2F6A94E1CDC9} - (no file)
    O2 - BHO: (no name) - {9CAB09D5-6AE6-4EE8-8085-8E5F03789445} - (no file)
    O2 - BHO: (no name) - {E2DFC760-68B8-4C25-A32E-0CF101536AC1} - (no file)
    O2 - BHO: (no name) - {F0E738CA-4E59-446F-B34A-6BC26FB2C735} - (no file)
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [BM83314f84] Rundll32.exe "C:\WINDOWS\system32\cltmbjdn.dll",s
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
    O20 - AppInit_DLLs: dlqmxwhs.dll
    O20 - Winlogon Notify: efcYRIba - C:\WINDOWS\
    O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
    O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonsoir

    Certaine infection ne ce vire pas comme ça :-(
    mais je vais faire ce que je peux pour virer ces saloperies ;-)

    Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    => /!\déconnecte toi d'internet et ferme toutes tes applications./!\

    =>/!\ désactive tes protections (antivirus, parefeu,antispyware) provisoirement et seulement le temps de l'utilisation de ComboFix,/!\

    => Double-clic sur combofix,

    => /!\Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi./!\

    => Attends que combofix ait terminé, un rapport sera créé.

    => réactive ton parefeu, ton antivirus, la garde de ton antispyware

    => copie/colle le rapport C:\ComboFix.txt

    => Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    0
  7. ordiman
     
    J'ai essayé combofix, il tourne normalement sauf au moment de générer le rapport. Le programme indique que le fichier est introuvable (il parle certainement du fichier "report") et je n'ai aucun fichier rapport qui s'affiche sur le bureau :s

    Quelle solution me reste-t-il?

    merci à toi
    0
  8. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonsoir

    as tu regardé dans C:\ComboFix.txt

    @+
    0
  9. ordiman
     
    En effet je l'ai trouvé là où tu as indiqué. J'aurai du mieux lire :s

    voilà le rapport

    rapport combofix.txt:

    ComboFix 08-06-20.4 - simon 2008-06-25 1:13:35.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1533 [GMT 2:00]
    Endroit: C:\Documents and Settings\simon\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\BM83314f84.xml
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\BHhOrBeg.ini
    C:\WINDOWS\system32\BHhOrBeg.ini2
    C:\WINDOWS\system32\BIOVvyay.ini
    C:\WINDOWS\system32\BIOVvyay.ini2
    C:\WINDOWS\system32\cddeNnpo.ini
    C:\WINDOWS\system32\cddeNnpo.ini2
    C:\WINDOWS\system32\geBrOhHB.dll
    C:\WINDOWS\system32\JjRrAcdd.ini
    C:\WINDOWS\system32\JjRrAcdd.ini2
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\mopdraqf.ini
    C:\WINDOWS\system32\tpbtbtra.ini
    C:\WINDOWS\system32\ttDccfhk.ini
    C:\WINDOWS\system32\ttDccfhk.ini2
    C:\WINDOWS\system32\vmtbucra.ini
    C:\WINDOWS\system32\ytmcqwuq.ini

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-24 to 2008-06-24 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-25 01:19 . 2008-06-25 01:19 294 ---hs---- C:\WINDOWS\system32\ytmcqwuq.ini
    2008-06-24 14:33 . 2008-06-24 14:33 105,472 --a------ C:\WINDOWS\system32\rkqjjlfl.dll
    2008-06-24 14:33 . 2008-06-24 14:33 81,920 --a------ C:\WINDOWS\system32\quwqcmty.dll
    2008-06-24 14:31 . 2008-06-24 14:31 91,136 --a------ C:\WINDOWS\system32\cltmbjdn.dll
    2008-06-24 14:26 . 2008-06-24 14:26 <REP> d-------- C:\sauvegarde ccleaner
    2008-06-24 12:33 . 2008-06-24 12:33 <REP> d-------- C:\Documents and Settings\simon\Application Data\Malwarebytes
    2008-06-24 12:32 . 2008-06-24 12:33 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-06-24 12:32 . 2008-06-24 12:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-06-24 12:32 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-06-24 12:32 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-06-24 02:30 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
    2008-06-24 02:30 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
    2008-06-24 02:30 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
    2008-06-23 23:03 . 2008-06-23 23:03 105,984 --a------ C:\WINDOWS\system32\dlqmxwhs.dll
    2008-06-23 22:47 . 2008-06-23 22:47 <REP> d-------- C:\WINDOWS\ERUNT
    2008-06-23 07:14 . 2008-06-23 07:14 99,328 --a------ C:\WINDOWS\system32\fghwqdfq.dll
    2008-06-23 07:11 . 2008-06-23 07:11 90,624 --a------ C:\WINDOWS\system32\olcdrlav.dll
    2008-06-22 07:14 . 2008-06-22 07:14 99,328 --a------ C:\WINDOWS\system32\krqixjsc.dll
    2008-06-22 07:08 . 2008-06-22 07:08 90,112 --a------ C:\WINDOWS\system32\dylolboj.dll
    2008-06-21 22:35 . 2008-06-21 22:35 99,328 --a------ C:\WINDOWS\system32\ljbbueej.dll
    2008-06-21 22:29 . 2008-06-21 22:29 90,112 --a------ C:\WINDOWS\system32\vtimttcd.dll
    2008-06-19 08:45 . 2008-06-23 21:33 442 --a------ C:\WINDOWS\wininit.ini
    2008-06-19 07:07 . 2008-06-19 07:07 <REP> d-------- C:\Logs
    2008-06-19 03:23 . 2008-06-19 03:23 <REP> d-------- C:\Program Files\MSBuild
    2008-06-19 03:23 . 2008-06-19 03:23 <REP> d-------- C:\Program Files\Microsoft Works
    2008-06-19 03:18 . 2008-06-19 03:22 <REP> d-------- C:\WINDOWS\SHELLNEW
    2008-06-19 03:18 . 2008-06-19 03:18 <REP> dr-h----- C:\MSOCache
    2008-06-19 03:18 . 2008-06-19 03:24 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-06-19 02:47 . 2008-06-19 02:47 <REP> d-------- C:\Program Files\uTorrent
    2008-06-19 02:47 . 2008-06-25 01:01 <REP> d-------- C:\Documents and Settings\simon\Application Data\uTorrent
    2008-06-19 00:50 . 2008-06-19 00:50 <REP> d-------- C:\Program Files\Smart Projects
    2008-06-19 00:40 . 2008-06-19 00:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
    2008-06-19 00:28 . 2008-06-19 00:28 <REP> d-------- C:\Program Files\Fichiers communs\Control Panels
    2008-06-19 00:27 . 2008-06-19 00:27 <REP> d-------- C:\Program Files\Bonjour
    2008-06-19 00:17 . 2008-06-19 00:17 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
    2008-06-19 00:14 . 2008-06-19 00:14 <REP> d-------- C:\Documents and Settings\simon\Logs
    2008-06-19 00:13 . 2008-06-19 00:13 268 --ah----- C:\sqmdata00.sqm
    2008-06-19 00:13 . 2008-06-19 00:13 244 --ah----- C:\sqmnoopt00.sqm
    2008-06-19 00:04 . 2008-06-19 06:43 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
    2008-06-18 23:52 . 2008-06-23 16:52 <REP> d-------- C:\Documents and Settings\simon\Contacts
    2008-06-18 23:51 . 2008-06-18 23:51 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2008-06-18 23:48 . 2008-06-18 23:50 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-06-18 22:29 . 2008-06-19 18:34 <REP> d-------- C:\Program Files\World of Warcraft
    2008-06-18 22:29 . 2008-06-18 22:29 <REP> d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment
    2008-06-18 22:28 . 2008-06-18 23:51 <REP> d-------- C:\Program Files\Windows Live
    2008-06-18 22:28 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
    2008-06-18 22:28 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
    2008-06-18 22:28 . 2007-03-08 07:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
    2008-06-18 22:28 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
    2008-06-18 22:28 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2008-06-18 22:28 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
    2008-06-18 22:28 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
    2008-06-18 22:28 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
    2008-06-18 22:28 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
    2008-06-18 22:27 . 2008-06-18 22:29 <REP> d-------- C:\WINDOWS\system32\fr-fr
    2008-06-18 22:27 . 2008-06-18 23:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-06-13 14:45 . 2008-06-13 14:45 579,464 --a------ C:\WINDOWS\system32\SymNeti.dll
    2008-06-13 14:45 . 2008-06-13 14:45 207,240 --a------ C:\WINDOWS\system32\SymRedir.dll
    2008-06-13 14:14 . 2008-06-13 14:14 31,280 --a------ C:\WINDOWS\system32\drivers\SymIM.sys
    2008-06-13 14:14 . 2008-06-13 14:14 13,093 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
    2008-06-13 14:14 . 2008-06-13 14:14 1,611 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
    2008-06-13 14:13 . 2008-06-13 14:13 184,240 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
    2008-06-13 14:13 . 2008-06-13 14:13 96,432 --a------ C:\WINDOWS\system32\drivers\symfw.sys
    2008-06-13 14:13 . 2008-06-13 14:13 41,008 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
    2008-06-13 14:13 . 2008-06-13 14:13 38,576 --a------ C:\WINDOWS\system32\drivers\symids.sys
    2008-06-13 14:13 . 2008-06-13 14:13 37,424 --a------ C:\WINDOWS\system32\drivers\symndis.sys
    2008-06-13 14:13 . 2008-06-13 14:13 22,320 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
    2008-06-13 14:13 . 2008-06-13 14:13 13,616 --a------ C:\WINDOWS\system32\drivers\symdns.sys
    2008-06-03 22:15 . 2008-04-29 10:00 288,896 --a------ C:\WINDOWS\system32\drivers\yk51x86.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-24 23:18 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-06-24 12:28 --------- d-----w C:\Program Files\Spybot - Search & Destroy
    2008-06-24 12:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-06-18 19:53 --------- d-----w C:\Program Files\Norton AntiVirus
    2008-06-18 19:48 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
    2008-06-18 19:48 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
    2008-06-18 19:48 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
    2008-06-18 19:48 --------- d-----w C:\Program Files\Symantec
    2008-06-18 19:42 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-06-18 19:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
    2008-06-18 19:40 --------- d-----w C:\Program Files\CCleaner
    2008-06-18 19:39 --------- d-----w C:\Program Files\ma-config.com
    2008-06-18 19:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\ma-config.com
    2008-06-18 19:26 --------- d-----w C:\Program Files\Windows Sidebar
    2008-06-18 19:23 --------- d-----w C:\Documents and Settings\simon\Application Data\Symantec
    2008-06-18 19:02 --------- d-----w C:\Program Files\Lavalys
    2008-06-18 18:36 --------- d-----w C:\Program Files\microsoft frontpage
    2008-06-18 18:34 --------- d-----w C:\Program Files\Services en ligne
    2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
    2008-05-03 03:46 6,554,496 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
    2008-06-18 21:50 116088 --a------ C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7bfd5cbf-825d-4898-a7dd-4cedadcbd1f0}]
    2008-06-24 14:33 105472 --a------ C:\WINDOWS\system32\rkqjjlfl.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-02-14 11:01 51048]
    "osCheck"="C:\Program Files\Norton AntiVirus\osCheck.exe" [2007-08-24 22:53 714608]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
    "nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
    "80027c18"="C:\WINDOWS\system32\quwqcmty.dll" [2008-06-24 14:33 81920]
    "BM83314f84"="C:\WINDOWS\system32\cltmbjdn.dll" [2008-06-24 14:31 91136]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcYRIba]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=dlqmxwhs.dll rkqjjlfl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

    R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon []
    S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
    S3 maconfservice;Ma-Config Service;"C:\Program Files\ma-config.com\maconfservice.exe" [2008-06-14 10:13]

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-06-23 18:51:08 C:\WINDOWS\Tasks\Norton AntiVirus - Effectuer une analyse complète du système - simon.job"
    0
  10. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    oki ;-)

    selectionne ceci

    registry::

    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7bfd5cbf-825d-4898-a7dd-4cedadcbd1f0}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "80027c18"=-
    "BM83314f84"=-

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=-

    File::
    C:\WINDOWS\system32\ytmcqwuq.ini
    C:\WINDOWS\system32\rkqjjlfl.dll
    C:\WINDOWS\system32\quwqcmty.dll
    C:\WINDOWS\system32\cltmbjdn.dll
    C:\WINDOWS\system32\dlqmxwhs.dll
    C:\WINDOWS\system32\olcdrlav.dll
    C:\WINDOWS\system32\krqixjsc.dll
    C:\WINDOWS\system32\dylolboj.dll
    C:\WINDOWS\system32\ljbbueej.dll
    C:\WINDOWS\system32\vtimttcd.dll



    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
    * Veille à ce que Retour à la ligne ne soit pas coché dans Format.
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt
    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme ceci
    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    @+
    0
  11. ordiman
     
    salut ep44, escuse moi pour le reatrd de mon post, mais je voulais vérifier que tout tournait correctement. Je pense qu'il n'y a plus de problème. ta dernière intervention a résolu le problème je pense. En revanche, aprés avoir effectué cette dernière étape j'ai eu des problèmes pour reboot (grosse lenteur au démarrage). De plus certains fichiers dll étaient manquants donc j'ai simplement réinstaller windows sans formatage et maintenant tout roule :) (enfin j'espère :) )

    Je poste le dernier rapport ComboFix, ça peut toujours servir:

    ComboFix 08-06-20.4 - simon 2008-06-26 1:47:17.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1620 [GMT 2:00]
    Endroit: C:\Documents and Settings\simon\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\simon\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color

    FILE ::
    C:\WINDOWS\system32\cltmbjdn.dll
    C:\WINDOWS\system32\dlqmxwhs.dll
    C:\WINDOWS\system32\dylolboj.dll
    C:\WINDOWS\system32\krqixjsc.dll
    C:\WINDOWS\system32\ljbbueej.dll
    C:\WINDOWS\system32\olcdrlav.dll
    C:\WINDOWS\system32\quwqcmty.dll
    C:\WINDOWS\system32\rkqjjlfl.dll
    C:\WINDOWS\system32\vtimttcd.dll
    C:\WINDOWS\system32\ytmcqwuq.ini
    .

    en tout cas, je te remercie beaucoup pour ton aide. J'espère qu'on se recroisera.

    à bientôt :)
    0
  12. ep44 Messages postés 7415 Date d'inscription   Statut Contributeur Dernière intervention   3
     
    Bonjour

    j'aurais du te préciser que tant que la désinfection n'est pas fini on ne peut aps attendre à retrouver son PC comme avant
    il faut toujours aller au bout d'une désinfection car il y à certaine mainip à faire
    @+
    0