Rapport HijackThis... aider moi

Fermé
evaromain - 25 juin 2008 à 10:20
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 8 juil. 2008 à 23:41
Bonjour,


je ciens de faire le rapport et voici ce que ca donne, mon pc ne fonctionne plus comme il faut. aider moi svp

merci d'avance




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:17:43, on 25/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ooVoo\ooVoo.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Winsos\WINSOS.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb126\Dealio.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
O4 - HKLM\..\Run: [BM3334da50] Rundll32.exe "C:\WINDOWS\system32\spvtmigk.dll",s
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [error junk] C:\DOCUME~1\EMILIE~1\APPLIC~1\ABOUTM~1\Toolaxis.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\ooVoo.exe /minimized
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126\res\DealioSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O20 - AppInit_DLLs: jbllrlot.dll yxclparv.dll bctgioht.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O24 - Desktop Component 0: (no name) - http://1b.img.v4.skyrock.com/1b3/zebre6041/pics/1447746677_small.jpg
O24 - Desktop Component 1: (no name) - http://1b.img.v4.skyrock.com/1b3/zebre6041/pics/1447702769.jpg

90 réponses

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
27 juin 2008 à 14:57
cela n'a pas fonctionner ... mais en mode sans échec tu peu avoir accès aux fichier, au poste de travail et au panneau de configuration ?
essaye et dis moi ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
27 juin 2008 à 14:59
oui j'avais deja essayé tantot
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
27 juin 2008 à 15:14
c'est plutôt une bonne nouvelle ^^

As tu tjrs le dossier de ZebRestor ( ZR_1.0.0.37 ) sur ton Bureau ?
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
27 juin 2008 à 18:34
desole du retard, non je ne e vois pas sur le bureau
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
27 juin 2008 à 18:49
donc voilà ce que tu vas faire pour l'instant :

Télécharges se petit soft , ZEB_RESTORE :

http://telechargement.zebulon.fr/zeb-restore.html

Enregistres ce fichier sur ton bureau.

-Clic droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.

Redémarres en mode sans échec .

-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
---> Coches les cases devant ( et uniquement celles-ci ! ) :

* Panneau de configuration : réactive le Panneau de configuration
* Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
* Policies : remet en place des éléments désactivés par "Policies"
* Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
* Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
* Réinitialiser Fichier Hosts : réinitialise le fichier Hosts

-Cliques sur : " Restaurer "

--->Redémarres ton PC

dis moi si maintenant tu as accès au poste de travail et au paneau de config en mode normal ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
27 juin 2008 à 19:01
non ca ne vas toujours pas :-(
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
28 juin 2008 à 09:38
Salut,
c'est bien dommage , ... retournes en mode sans échec , rentres dans le paneau de configuration/ pare-feu :
---> désactives le et valides la modife ...

redémarres ton PC , et prévient moi une fois cela fais ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
28 juin 2008 à 11:54
re! en mode sans echec il ne veut pas ouvrir le fichier avec le pare feu, un message s'affiche et me dit quelque chose avec la conexion
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464 > evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
28 juin 2008 à 11:57
C'est quoi ce message exactement ?
Si c'est un message d'alerte te disant que tu n'es plus protèger , c'est normal ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
28 juin 2008 à 12:27
il dit que il ne peut ouvrir les parametres du pare feu car le service associé n'est pas en cours d'exécution
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
28 juin 2008 à 12:34
laisse courrir pour le momment ...

on vas tenté un scan en ligne :

-Fais un scan antivirus en ligne, avec Internet Explorer ( c'est impératif ! )et accepter l'ActiveX :

https://www.bitdefender.fr/

( pour le rapport ,qui est un doc IE , clik sur l'onglet "plus de détailles" présent sur la fenêtre : et à la fin du scan tu demandes à le sauvegarder sur ton bureau )

--->fais un copier/coller et postes le rapport dans ta prochaine réponse ...

Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc.
(aide en image : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender)
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
1 juil. 2008 à 09:49
desole pour les jours sans etre venue un petit soucis familiale

je vai faire le scan tout de suite
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
1 juil. 2008 à 09:55
"Impossible de charger le scanner en ligne."

voila la repo,se que l on me donne, je l ai fait avec internet explorer
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
1 juil. 2008 à 09:57
Salut,
as tu accepter et télécharger " l'active X " nécessaire pour le scan ?
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
1 juil. 2008 à 10:24
il ne ma pas proposer le téléchargement de l'active x, et je viens de ressayer maintenant, et la quand je clique sur "j accepte" pour la charte d utilisation il revient sur la même page et ne me donne plus le scan
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
1 juil. 2008 à 10:53
laisses courrir ....
tu m'as dis au début que ton antivirus ne marchais pas (Norton) qu'est-ce qui te fais dire cela : il bug , plus de mise à jour ou autre ?
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
1 juil. 2008 à 11:25
plus de mise a jour il me dit de mettre la mise a jour live update mais une fois que je veu le faire il ne veu pas
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464 > evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
1 juil. 2008 à 11:30
Norton est payant , donc as tu renouvellé ta licence si celle-ci est périmée ?

je te demande cela car si tu veut, on peut ce débarasser de celui-ci si tu ne veux pas re-payer, et mettre un autre antivirus gratuis tout aussi bien , voir mieux même ...
et je pense aussi que Combofix ne passe pas car tu n'arrive pas à le désactiver correctement ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
1 juil. 2008 à 11:37
il n est pas expirer g encore 6 mois avec norton
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008 > evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
1 juil. 2008 à 11:41
et de plus, google ne cherche plus rien, et quand je ai sur n importe quel autre moteur de recherche il ne eu pas m ourir le site skyrock
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
1 juil. 2008 à 11:45
Si tu souhaites le garder encore 6 mois , pas de prb alors ,libre à toi ^^

bon voyons ou nou en somme de puis ces quelques jours ... un nouveau rapport DSS ...

je te redonnes la manipe:

Télécharges DSS (Deckard's System Scanner de Deckard) sur ton Bureau :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

!! Fermes toutes les applications en cours (très important, sinon l'ordi peut planter) !!

Double-clique sur DSS.exe pour lancer l'outil.
(S'il ne trouve pas HijackThis, clique sur Oui )

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera --->Postes ce rapport dans prochaine
ta réponse pour analyse ...

(Le rapport se trouve en outre ici : C:\Deckard\System Scanner\main.txt.)

Important : Si tu obtiens deux rapports ("main.txt" + "extra.txt") alors poste les deux stp.
Attention --> les rapports peuvent être long donc envoie chacun d'eux dans un poste différent (sinon il risque de manquer la fin).
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
1 juil. 2008 à 12:12
Deckard's System Scanner v20071014.68
Run by emilie molle on 2008-07-01 12:10:15
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]Total Physical Memory: 448 MiB (512 MiB recommended).[/color]


-- HijackThis (run as emilie molle.exe) ----------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:10:39, on 01/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\Pando Networks\Pando\pando.exe
C:\Documents and Settings\emilie molle\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\EMILIE~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: (no name) - {3EE86D91-2F18-4027-9157-A16110AC59BE} - C:\WINDOWS\system32\ljJCsspQ.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Program Files\Dealio\kb126\Dealio.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: {4089bffc-8938-931a-8ea4-ad99a88ea62b} - {b26ae88a-99da-4ae8-a139-8398cffb9804} - C:\WINDOWS\system32\yklqck.dll
O2 - BHO: (no name) - {FCAFFEDF-BEF2-40B5-9DBE-C64B651FD4E3} - C:\WINDOWS\system32\geBUnLCs.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb126\Dealio.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [BM3334da50] Rundll32.exe "C:\WINDOWS\system32\rmbfiass.dll",s
O4 - HKLM\..\Run: [3007e9cc] rundll32.exe "C:\WINDOWS\system32\xvgnkofb.dll",b
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126\res\DealioSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O20 - Winlogon Notify: ljJCsspQ - C:\WINDOWS\SYSTEM32\ljJCsspQ.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
1 juil. 2008 à 12:24
bon commence par ce-ci :

Télécharges OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Déconnectes toi et fermes toute tes applications en cours .

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,

C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
C:\Documents and Settings\emilie molle\Application Data\SUPERAntiSpyware.com
C:\Program Files\TrojansFiltre
C:\Documents and Settings\All Users\Application Data\LookMyPC
C:\Backups
C:\Documents and Settings\emilie molle\Application Data\Dealio



et colles-la dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles."

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes".

0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
1 juil. 2008 à 12:48
C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware moved successfully.
C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com moved successfully.
C:\Documents and Settings\emilie molle\Application Data\SUPERAntiSpyware.com moved successfully.
C:\Program Files\TrojansFiltre moved successfully.
C:\Documents and Settings\All Users\Application Data\LookMyPC moved successfully.
C:\Backups moved successfully.
C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126\temp moved successfully.
C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126\rules moved successfully.
C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126\res moved successfully.
C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126 moved successfully.
C:\Documents and Settings\emilie molle\Application Data\Dealio moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 07012008_124547
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
1 juil. 2008 à 12:54
Bien ...

Télécharges Vundofix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

!!Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double-cliquer sur VundoFix.exe afin de le lancer.
Cliquer sur le bouton Scan for Vundo.

Lorsque le scan est complété, cliquer sur le bouton fix Vundo.

Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES

Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.

Le contenu du rapport est situé dans C:\vundofix.txt : postes ce rapport avec aussi un nouveau rapport Hijackthis pour annalyse .
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
2 juil. 2008 à 11:47
VundoFix V7.0.6

Scan started at 11:29:57 02/07/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:44, on 02/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb126\Dealio.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [BM3334da50] Rundll32.exe "C:\WINDOWS\system32\rmbfiass.dll",s
O4 - HKLM\..\Run: [3007e9cc] rundll32.exe "C:\WINDOWS\system32\hkllauam.dll",b
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126\res\DealioSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
2 juil. 2008 à 12:05
Ensuite :

Télécharges VirtumundoBegone sur ton bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

!! Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

Postes le rapport VBG accompagné d'un nouveau rapport Hijackthis pour analyse ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
2 juil. 2008 à 12:23
[06/26/2008, 21:29:15] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\emilie molle\Bureau\VirtumundoBeGone.exe" )
[06/26/2008, 21:29:20] - Detected System Information:
[06/26/2008, 21:29:20] - Windows Version: 5.1.2600, Service Pack 2
[06/26/2008, 21:29:20] - Current Username: emilie molle (Admin)
[06/26/2008, 21:29:20] - Windows is in NORMAL mode.
[06/26/2008, 21:29:20] - Searching for Browser Helper Objects:
[06/26/2008, 21:29:20] - BHO 1: {0347C33E-8762-4905-BF09-768834316C61} (HP Print Enhancer)
[06/26/2008, 21:29:20] - BHO 2: {053F9267-DC04-4294-A72C-58F732D338C0} (HP Print Clips)
[06/26/2008, 21:29:20] - BHO 3: {0D0A8470-26B3-4EC6-9E42-57FDA79738D8} ()
[06/26/2008, 21:29:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/26/2008, 21:29:20] - Checking for HKLM\...\Winlogon\Notify\xxyvVPIy
[06/26/2008, 21:29:20] - Found: HKLM\...\Winlogon\Notify\xxyvVPIy - This is probably Virtumundo.
[06/26/2008, 21:29:20] - Assigning {0D0A8470-26B3-4EC6-9E42-57FDA79738D8} MSEvents Object
[06/26/2008, 21:29:20] - BHO list has been changed! Starting over...
[06/26/2008, 21:29:20] - BHO 1: {0347C33E-8762-4905-BF09-768834316C61} (HP Print Enhancer)
[06/26/2008, 21:29:20] - BHO 2: {053F9267-DC04-4294-A72C-58F732D338C0} (HP Print Clips)
[06/26/2008, 21:29:20] - BHO 3: {0D0A8470-26B3-4EC6-9E42-57FDA79738D8} (MSEvents Object)
[06/26/2008, 21:29:20] - ALERT: Found MSEvents Object!
[06/26/2008, 21:29:20] - BHO 4: {1784b4e4-d7be-4779-be3c-078a918c4fa0} ()
[06/26/2008, 21:29:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/26/2008, 21:29:20] - Checking for HKLM\...\Winlogon\Notify\oupxxxgh
[06/26/2008, 21:29:20] - Key not found: HKLM\...\Winlogon\Notify\oupxxxgh, continuing.
[06/26/2008, 21:29:20] - BHO 5: {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} (CInterceptor Object)
[06/26/2008, 21:29:20] - BHO 6: {6A87B991-A31F-4130-AE72-6D0C294BF082} (DealioBHO Class)
[06/26/2008, 21:29:20] - BHO 7: {6D53EC84-6AAE-4787-AEEE-F4628F01010C} (Symantec Intrusion Prevention)
[06/26/2008, 21:29:20] - BHO 8: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/26/2008, 21:29:20] - BHO 9: {77999EFB-0263-437F-8706-0767DBDC8BD8} ()
[06/26/2008, 21:29:20] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/26/2008, 21:29:20] - Checking for HKLM\...\Winlogon\Notify\yayaAsrS
[06/26/2008, 21:29:20] - Key not found: HKLM\...\Winlogon\Notify\yayaAsrS, continuing.
[06/26/2008, 21:29:20] - Finished Searching Browser Helper Objects
[06/26/2008, 21:29:21] - *** Detected MSEvents Object
[06/26/2008, 21:29:21] - Trying to remove MSEvents Object...
[06/26/2008, 21:29:22] - Terminating Process: IEXPLORE.EXE
[06/26/2008, 21:29:23] - Terminating Process: RUNDLL32.EXE
[06/26/2008, 21:29:23] - Disabling Automatic Shell Restart
[06/26/2008, 21:29:23] - Terminating Process: EXPLORER.EXE
[06/26/2008, 21:29:23] - Suspending the NT Session Manager System Service
[06/26/2008, 21:29:24] - Terminating Windows NT Logon/Logoff Manager
[06/26/2008, 21:29:24] - Re-enabling Automatic Shell Restart
[06/26/2008, 21:29:24] - File to disable: C:\WINDOWS\system32\xxyvVPIy.dll
[06/26/2008, 21:29:24] - Renaming C:\WINDOWS\system32\xxyvVPIy.dll -> C:\WINDOWS\system32\xxyvVPIy.dll.vir
[06/26/2008, 21:29:25] - File successfully renamed!
[06/26/2008, 21:29:25] - Removing HKLM\...\Browser Helper Objects\{0D0A8470-26B3-4EC6-9E42-57FDA79738D8}
[06/26/2008, 21:29:25] - Removing HKCR\CLSID\{0D0A8470-26B3-4EC6-9E42-57FDA79738D8}
[06/26/2008, 21:29:25] - Adding Kill Bit for ActiveX for GUID: {0D0A8470-26B3-4EC6-9E42-57FDA79738D8}
[06/26/2008, 21:29:25] - Deleting ATLEvents/MSEvents Registry entries
[06/26/2008, 21:29:25] - Removing HKLM\...\Winlogon\Notify\xxyvVPIy
[06/26/2008, 21:29:25] - Searching for Browser Helper Objects:
[06/26/2008, 21:29:25] - BHO 1: {0347C33E-8762-4905-BF09-768834316C61} (HP Print Enhancer)
[06/26/2008, 21:29:25] - BHO 2: {053F9267-DC04-4294-A72C-58F732D338C0} (HP Print Clips)
[06/26/2008, 21:29:25] - BHO 3: {1784b4e4-d7be-4779-be3c-078a918c4fa0} ()
[06/26/2008, 21:29:25] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/26/2008, 21:29:25] - Checking for HKLM\...\Winlogon\Notify\oupxxxgh
[06/26/2008, 21:29:25] - Key not found: HKLM\...\Winlogon\Notify\oupxxxgh, continuing.
[06/26/2008, 21:29:25] - BHO 4: {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} (CInterceptor Object)
[06/26/2008, 21:29:25] - BHO 5: {6A87B991-A31F-4130-AE72-6D0C294BF082} (DealioBHO Class)
[06/26/2008, 21:29:25] - BHO 6: {6D53EC84-6AAE-4787-AEEE-F4628F01010C} (Symantec Intrusion Prevention)
[06/26/2008, 21:29:26] - BHO 7: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/26/2008, 21:29:26] - BHO 8: {77999EFB-0263-437F-8706-0767DBDC8BD8} ()
[06/26/2008, 21:29:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/26/2008, 21:29:26] - Checking for HKLM\...\Winlogon\Notify\yayaAsrS
[06/26/2008, 21:29:26] - Key not found: HKLM\...\Winlogon\Notify\yayaAsrS, continuing.
[06/26/2008, 21:29:26] - Finished Searching Browser Helper Objects
[06/26/2008, 21:29:26] - Finishing up...
[06/26/2008, 21:29:26] - A restart is needed.
[06/26/2008, 21:29:36] - Attempting to Restart via STOP error (Blue Screen!)

[07/02/2008, 12:16:40] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\emilie molle\Bureau\VirtumundoBeGone.exe" )
[07/02/2008, 12:16:49] - Detected System Information:
[07/02/2008, 12:16:49] - Windows Version: 5.1.2600, Service Pack 2
[07/02/2008, 12:16:49] - Current Username: emilie molle (Admin)
[07/02/2008, 12:16:49] - Windows is in NORMAL mode.
[07/02/2008, 12:16:49] - Searching for Browser Helper Objects:
[07/02/2008, 12:16:49] - BHO 1: {0347C33E-8762-4905-BF09-768834316C61} (HP Print Enhancer)
[07/02/2008, 12:16:49] - BHO 2: {053F9267-DC04-4294-A72C-58F732D338C0} (HP Print Clips)
[07/02/2008, 12:16:49] - BHO 3: {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} (CInterceptor Object)
[07/02/2008, 12:16:49] - BHO 4: {3EE86D91-2F18-4027-9157-A16110AC59BE} ()
[07/02/2008, 12:16:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/02/2008, 12:16:49] - Checking for HKLM\...\Winlogon\Notify\ljJCsspQ
[07/02/2008, 12:16:49] - Found: HKLM\...\Winlogon\Notify\ljJCsspQ - This is probably Virtumundo.
[07/02/2008, 12:16:49] - Assigning {3EE86D91-2F18-4027-9157-A16110AC59BE} MSEvents Object
[07/02/2008, 12:16:49] - BHO list has been changed! Starting over...
[07/02/2008, 12:16:49] - BHO 1: {0347C33E-8762-4905-BF09-768834316C61} (HP Print Enhancer)
[07/02/2008, 12:16:49] - BHO 2: {053F9267-DC04-4294-A72C-58F732D338C0} (HP Print Clips)
[07/02/2008, 12:16:49] - BHO 3: {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} (CInterceptor Object)
[07/02/2008, 12:16:49] - BHO 4: {3EE86D91-2F18-4027-9157-A16110AC59BE} (MSEvents Object)
[07/02/2008, 12:16:49] - ALERT: Found MSEvents Object!
[07/02/2008, 12:16:49] - BHO 5: {6A87B991-A31F-4130-AE72-6D0C294BF082} (DealioBHO Class)
[07/02/2008, 12:16:49] - BHO 6: {6D53EC84-6AAE-4787-AEEE-F4628F01010C} (Symantec Intrusion Prevention)
[07/02/2008, 12:16:49] - BHO 7: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/02/2008, 12:16:49] - BHO 8: {7CF5BFA4-2488-41C2-86EB-A7F304E6CE41} ()
[07/02/2008, 12:16:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/02/2008, 12:16:49] - Checking for HKLM\...\Winlogon\Notify\geBUnLCs
[07/02/2008, 12:16:49] - Key not found: HKLM\...\Winlogon\Notify\geBUnLCs, continuing.
[07/02/2008, 12:16:49] - BHO 9: {ceeb468f-4e22-441c-8678-c99ecda89088} ()
[07/02/2008, 12:16:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/02/2008, 12:16:49] - Checking for HKLM\...\Winlogon\Notify\jlahzc
[07/02/2008, 12:16:49] - Key not found: HKLM\...\Winlogon\Notify\jlahzc, continuing.
[07/02/2008, 12:16:49] - Finished Searching Browser Helper Objects
[07/02/2008, 12:16:49] - *** Detected MSEvents Object
[07/02/2008, 12:16:49] - Trying to remove MSEvents Object...
[07/02/2008, 12:16:50] - Terminating Process: IEXPLORE.EXE
[07/02/2008, 12:16:51] - Terminating Process: RUNDLL32.EXE
[07/02/2008, 12:16:51] - Disabling Automatic Shell Restart
[07/02/2008, 12:16:51] - Terminating Process: EXPLORER.EXE
[07/02/2008, 12:16:52] - Suspending the NT Session Manager System Service
[07/02/2008, 12:16:52] - Terminating Windows NT Logon/Logoff Manager
[07/02/2008, 12:16:53] - Re-enabling Automatic Shell Restart
[07/02/2008, 12:16:53] - File to disable: C:\WINDOWS\system32\ljJCsspQ.dll
[07/02/2008, 12:16:53] - Renaming C:\WINDOWS\system32\ljJCsspQ.dll -> C:\WINDOWS\system32\ljJCsspQ.dll.vir
[07/02/2008, 12:16:53] - File successfully renamed!
[07/02/2008, 12:16:53] - Removing HKLM\...\Browser Helper Objects\{3EE86D91-2F18-4027-9157-A16110AC59BE}
[07/02/2008, 12:16:53] - Removing HKCR\CLSID\{3EE86D91-2F18-4027-9157-A16110AC59BE}
[07/02/2008, 12:16:54] - Adding Kill Bit for ActiveX for GUID: {3EE86D91-2F18-4027-9157-A16110AC59BE}
[07/02/2008, 12:16:55] - Deleting ATLEvents/MSEvents Registry entries
[07/02/2008, 12:16:55] - Removing HKLM\...\Winlogon\Notify\ljJCsspQ
[07/02/2008, 12:16:55] - Searching for Browser Helper Objects:
[07/02/2008, 12:16:55] - BHO 1: {0347C33E-8762-4905-BF09-768834316C61} (HP Print Enhancer)
[07/02/2008, 12:16:55] - BHO 2: {053F9267-DC04-4294-A72C-58F732D338C0} (HP Print Clips)
[07/02/2008, 12:16:55] - BHO 3: {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} (CInterceptor Object)
[07/02/2008, 12:16:55] - BHO 4: {6A87B991-A31F-4130-AE72-6D0C294BF082} (DealioBHO Class)
[07/02/2008, 12:16:55] - BHO 5: {6D53EC84-6AAE-4787-AEEE-F4628F01010C} (Symantec Intrusion Prevention)
[07/02/2008, 12:16:55] - BHO 6: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/02/2008, 12:16:55] - BHO 7: {7CF5BFA4-2488-41C2-86EB-A7F304E6CE41} ()
[07/02/2008, 12:16:55] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/02/2008, 12:16:55] - Checking for HKLM\...\Winlogon\Notify\geBUnLCs
[07/02/2008, 12:16:55] - Key not found: HKLM\...\Winlogon\Notify\geBUnLCs, continuing.
[07/02/2008, 12:16:55] - BHO 8: {ceeb468f-4e22-441c-8678-c99ecda89088} ()
[07/02/2008, 12:16:55] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/02/2008, 12:16:55] - Checking for HKLM\...\Winlogon\Notify\jlahzc
[07/02/2008, 12:16:55] - Key not found: HKLM\...\Winlogon\Notify\jlahzc, continuing.
[07/02/2008, 12:16:55] - Finished Searching Browser Helper Objects
[07/02/2008, 12:16:55] - Finishing up...
[07/02/2008, 12:16:55] - A restart is needed.
[07/02/2008, 12:16:57] - Attempting to Restart via STOP error (Blue Screen!)





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:23, on 02/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb126\Dealio.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [3007e9cc] rundll32.exe "C:\WINDOWS\system32\hkllauam.dll",b
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BM3334da50] Rundll32.exe "C:\WINDOWS\system32\rmbfiass.dll",s
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126\res\DealioSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
2 juil. 2008 à 12:28
mets à jour Malwaresbytes .

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
2 juil. 2008 à 13:00
Malwarebytes' Anti-Malware 1.18
Version de la base de données: 892

12:55:44 02/07/2008
mbam-log-7-2-2008 (12-55-44).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Eléments examinés: 81826
Temps écoulé: 18 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\geBUnLCs.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af87d2a6-5e2e-442b-8117-c1e4bb2d2e4e} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{af87d2a6-5e2e-442b-8117-c1e4bb2d2e4e} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\3007e9cc (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM3334da50 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebunlcs -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebunlcs -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\geBUnLCs.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\sCLnUBeg.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sCLnUBeg.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hkllauam.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mauallkh.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rmbfiass.dll (Trojan.Agent) -> Quarantined and deleted successfully.





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:59:53, on 02/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fimg%2ffr%2ffr-fr%2fmsger%2ftabs%2f_pictos%2fcoca%2fPictoCoke02.png%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb126\Dealio.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\emilie molle\Application Data\Dealio\kb126\res\DealioSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb126\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
2 juil. 2008 à 13:31
Ok ...

1- Supprimes tous ce que Malwarebytes a en quarantaine ( ouvre malwarebytes , va sur l'onglet " quarantaine " et fais " tout supprimer" ...)

2- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé .

3- Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
---> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix pour analyse ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
2 juil. 2008 à 13:53
-->- Recherche:

C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\emilie molle\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\emilie molle\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\emilie molle\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\emilie molle\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\emilie molle\Bureau\vundoFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\emilie molle\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\emilie molle\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\emilie molle\Bureau\VirtumundoBeGone.exe: supprimé !
C:\Documents and Settings\emilie molle\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\emilie molle\Bureau\vundoFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Restauration annulée !
Fichiers temporaires nettoyés !




par contre quand j'ai telecharger combofix, et que je veux l'ourir, un message s'affiche.
voici ce message:

Expired -08-06-20.4

current date is 02/07/2008

this copy of combofix is expired

please download and updated copy
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
2 juil. 2008 à 14:07
Supprimes le et retélécharges le ...
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
2 juil. 2008 à 14:14
des que le message etait apparu, le programme s'est effacer de mon pc tout seul, je l'avais retelecherger mais toujours le meme message
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464 > evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
2 juil. 2008 à 14:23
Ré-essayes ... je vais le tester chez moi en attendant ....
0
evaromain Messages postés 142 Date d'inscription mercredi 25 juin 2008 Statut Membre Dernière intervention 8 juillet 2008
2 juil. 2008 à 14:28
maintenant j'ai un autre message:

you cannot rename combofixe as c-fix
please use another name, perferbaly made up of alphanumeric characters.
0