Trojan vundo insupprimable Résolu

Question

Bonjour,

Je ne parviens pas à supprimer Vundo de mon ordinateur.
Merci de bien vouloir m'aider.
Je vous joint un rapport hijack this
Il est présent dans le registre et dans le system32 sous la forme d'une dll       "xxyxUMFu.dll"

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:23:23, on 29/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\windows\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\windows\system32\svchost.exe
C:\windows\system32\RUNDLL32.EXE
C:\windows\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\windows\system32undll32.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1098640
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Program Files\Conexant\Conexant USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\windows\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{00CE778B-6BE8-489E-BB30-23C9BFA8275F}: NameServer = 84.103.237.148 86.64.145.148
O17 - HKLM\System\CS1\Services\Tcpip\..\{00CE778B-6BE8-489E-BB30-23C9BFA8275F}: NameServer = 84.103.237.148 86.64.145.148
O18 - Protocol: offline-8876480 - {447F4FAF-61DF-4CAB-8F14-39964E87EFDC} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Lyonnais92 · Answer

Bonjour,

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Lyonnais92 · Answer

Re,

remets un rapport Hijackthis.

Lyonnais92 · Answer

Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::
C:\WINDOWS\system32\xxyxUMFu.dll 
 



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.


Tu en vois une autre ?

Lionel24 · Answer

Re,

Merci la dll a été supprimée. Pour l'instant je n'en vois pas d'autre.
Je referais un scan avec MBAM en mode sans echec demain.
comme convenu les 2 rapports.

ComboFix 08-06-20.4 - Lionel Drosson 2008-06-29 23:13:48.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.3096 [GMT 2:00]
Endroit: C:\Documents and Settings\Lionel Drosson\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Lionel Drosson\Bureau\CFscript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\xxyxUMFu.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\xxyxUMFu.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-28 to 2008-06-29 ))))))))))))))))))))))))))))))))))))
.

2008-06-29 22:34 . 2008-06-29 22:36 1,612 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-29 22:33 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-29 22:33 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-29 22:33 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-29 22:33 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-29 22:33 . 2008-06-23 23:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-29 22:33 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-29 22:33 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-29 22:33 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-29 22:33 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-29 22:02 . 2008-06-29 22:02 <REP> d-------- C:\VundoFix Backups
2008-06-29 16:36 . 2008-06-29 16:36 <REP> d-------- C:\Program Files\Alcohol Soft
2008-06-29 16:29 . 2008-06-29 16:29 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-28 23:03 . 2008-06-28 23:03 1 --a------ C:\Documents and Settings\Lionel Drosson\SI.bin
2008-06-28 10:16 . 2008-06-28 22:46 <REP> d-------- C:\Program Files\Yahoo!
2008-06-23 21:53 . 2008-06-23 21:54 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-06-22 19:57 . 2008-06-29 22:14 <REP> d-------- C:\Program Files\eMule
2008-06-21 15:40 . 2008-06-21 15:40 <REP> d-------- C:\Program Files\2K Games
2008-06-21 14:05 . 2008-06-21 14:05 <REP> d-------- C:\Program Files\Conexant
2008-06-21 12:47 . 2008-06-21 12:47 <REP> d-------- C:\Program Files\SITECOM
2008-06-21 10:02 . 2003-07-18 16:29 52,864 --a------ C:\WINDOWS\system32\drivers\CnxTrUsb.sys
2008-06-21 10:02 . 2003-07-18 16:29 25,984 --a------ C:\WINDOWS\system32\drivers\CnxTrLan.sys
2008-06-21 10:02 . 2001-07-21 20:30 22,048 --a------ C:\WINDOWS\system32\cocpyinf.dll
2008-06-17 20:55 . 2008-06-17 20:55 7,008 --a------ C:\WINDOWS\system32\ealregsnapshot1.reg
2008-06-14 18:46 . 2003-01-10 16:13 33,588 --a------ C:\WINDOWS\system32\drivers\wanatw4.sys
2008-06-14 17:17 . 2008-06-26 07:20 <REP> d-------- C:\Program Files\ADSL MODEM UTILITY
2008-06-12 01:55 . 2008-06-12 01:55 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-06-11 19:27 . 2008-06-11 19:27 <REP> d-------- C:\Program Files\Real
2008-06-11 19:27 . 2008-06-11 19:27 <REP> d-------- C:\Program Files\Learn2.com
2008-06-11 19:27 . 2008-06-11 19:27 <REP> d-------- C:\My Music
2008-06-11 19:27 . 2008-06-11 19:27 <REP> d-------- C:\aolextras
2008-06-11 19:27 . 2004-05-10 22:49 173,184 --a------ C:\WINDOWS\system32\ygpss.scr
2008-06-11 19:27 . 2008-06-11 19:27 24,576 --a------ C:\WINDOWS\system32\prefscpl.cpl
2008-06-11 19:27 . 2008-06-11 19:27 8,552 --a------ C:\WINDOWS\system32\drivers\asctrm.sys
2008-06-11 19:20 . 2008-06-26 07:24 6 --a------ C:\WINDOWS\msoffice.ini
2008-05-30 18:14 . 2008-05-31 10:16 <REP> d-------- C:\Program Files\FinePixViewer
2008-05-30 18:14 . 2008-05-30 18:15 <REP> d-------- C:\Documents and Settings\Lionel Drosson\Application Data\FUJIFILM
2008-05-30 18:14 . 2003-09-03 16:45 274,432 --a------ C:\WINDOWS\system32\FFTIFF16.dll
2008-05-30 18:14 . 2006-07-12 14:39 208,896 --a------ C:\WINDOWS\system32\FFRafShellEx.dll
2008-05-30 18:14 . 2004-07-24 21:28 155,648 --a------ C:\WINDOWS\system32\FFRAFLIB.DLL

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-29 21:12 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-29 20:14 --------- d-----w C:\Program Files\BitTorrent
2008-06-29 14:36 --------- d-----w C:\Program Files\free-downloads.net
2008-06-29 08:09 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-29 08:09 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-06-28 20:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\SiteAdvisor
2008-06-28 20:31 22,328 ----a-w C:\windows\system32\drivers\PnkBstrK.sys
2008-06-28 20:23 107,832 ----a-w C:\windows\system32\PnkBstrB.exe
2008-06-28 07:25 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-06-28 07:01 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\gtk-2.0
2008-06-28 06:53 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\Canon
2008-06-26 15:05 --------- d-----w C:\Program Files\Fichiers communs\AOL
2008-06-26 05:25 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\AOL
2008-06-26 05:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\AOL
2008-06-25 18:53 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\Bioshock
2008-06-23 16:28 --------- d-----w C:\Program Files\SpywareBlaster
2008-06-19 15:48 34,296 ----a-w C:\windows\system32\drivers\mbamcatchme.sys
2008-06-19 15:47 17,144 ----a-w C:\windows\system32\drivers\mbam.sys
2008-06-17 09:42 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\BitTorrent
2008-06-15 16:34 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\Xfire
2008-06-14 16:30 --------- d-----w C:\Program Files\Java
2008-06-14 16:23 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AOL
2008-06-11 17:27 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-05-30 16:35 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\Hamachi
2008-05-25 07:58 --------- d-----w C:\Program Files\Electronic Arts
2008-05-24 17:21 --------- d-----w C:\Program Files\Maïdo Production
2008-05-24 17:12 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\FileZilla
2008-05-18 13:49 --------- d-----w C:\Program Files\Fichiers communs\Nullsoft
2008-05-18 08:58 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\Comodo
2008-05-18 08:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Comodo
2008-05-18 08:56 --------- d-----w C:\Program Files\Comodo
2008-05-18 08:11 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\Malwarebytes
2008-05-18 08:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-17 21:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee
2008-05-16 22:25 1,085 ----a-w C:\windows\system32\drivers\fwdrv.err
2008-05-14 23:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-05-14 20:51 25,280 ----a-w C:\windows\system32\drivers\hamachi.sys
2008-05-14 20:51 --------- d-----w C:\Program Files\Hamachi
2008-05-14 19:52 --------- d-----w C:\Program Files\FileZilla FTP Client
2008-05-08 16:46 --------- d-----w C:\Program Files\CCleaner
2008-05-08 09:30 --------- d-----w C:\Program Files\Sunbelt Software
2008-05-08 09:28 --------- d-----w C:\Program Files\Avira
2008-05-08 09:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-05-04 13:17 --------- d-----w C:\Program Files\SafeSoft
2008-05-04 09:36 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\Talkback
2008-05-04 09:35 --------- d-----w C:\Program Files\mozilla.org
2008-05-04 08:37 --------- d-----w C:\Documents and Settings\Lionel Drosson\Application Data\SystemRequirementsLab
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\windows\system32\ctfmon.exe" [2006-03-02 14:00 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-12-15 17:01 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2007-04-20 00:05 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-20 00:05 81920]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 14:44 1953792]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINDOWS\RTHDCPL.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-23 00:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2008-05-18 11:12 1115728]
"CnxTrApp"="C:\Program Files\Conexant\Conexant USB Network\CnxTrApp.dll" [2003-07-18 16:32 247296]
"NvCplDaemon"="C:\windows\system32\NvCpl.dll" [2007-04-20 00:05 8429568]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2007-12-15 17:01:22 450560]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-12-15 17:00:12 528384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Fichiers communs\\AOL\\System Information\\sinf.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\xfire\\xfire.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"D:\\EA GAMES\\Battlefield 2\\BF2.exe"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\autorun.exe
\Shell\directx\command - E:\DirectX9\dxsetup.exe
\Shell\setup\command - E:\install.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 23:14:28
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-29 23:14:51
ComboFix-quarantined-files.txt 2008-06-29 21:14:48
ComboFix2.txt 2008-06-29 20:43:09

Pre-Run: 32,866,340,864 octets libres
Post-Run: 32,854,482,944 octets libres

171 --- E O F --- 2008-05-16 21:29:50

Rapport Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:49, on 29/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\windows\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\windows\system32\svchost.exe
C:\windows\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\windows\System32\svchost.exe
C:\Program Files\Comodo\Firewall\cpf.exe
C:\windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Program Files\Conexant\Conexant USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\windows\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{00CE778B-6BE8-489E-BB30-23C9BFA8275F}: NameServer = 86.64.145.147 84.103.237.147
O17 - HKLM\System\CS1\Services\Tcpip\..\{00CE778B-6BE8-489E-BB30-23C9BFA8275F}: NameServer = 86.64.145.147 84.103.237.147
O18 - Protocol: offline-8876480 - {447F4FAF-61DF-4CAB-8F14-39964E87EFDC} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Lyonnais92 · Answer

Re,

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)       => Yahoo Companion!  
R3 - URLSearchHook: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - (no file

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.


Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.


Accèdes tu à Internet via une box ou un routeur ?

Lyonnais92 · Answer

Bonsoir,

mets à jour Internet explorer (c'est une faille de sécurité).

télécharge Firefox qui est en général mieux sécurisé :

http://www.commentcamarche.net/telecharger/telecharger 111 firefox

Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
    -- Met le sur ton bureau
 


    => Lance ATF-Cleaner :
    * Sous l'onglet Main, choisis : Select All
    * Clique sur le bouton Empty Selected

    * Sous l'onglet Firefox (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Sous l'onglet Opéra (si présent) : Clique sur select all
    -- Au message "are you sure you want to delete your firefox saved password" clique sur NON
    -- Clique sur Empty selected

    * Quitte ATF-Cleaner 

Utilise le tous les jours.

Il me semble que tu n'as pas d'antispyware.

Fais ceci :

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Lyonnais92 · Answer

Bonjour,

 ccleaner spyware blaster, MBAM est un très bon ensemble.

Perso, je trouve ATF Cleaner plus "léger" pour le nettoyage quotidien des fichiers temporaires et autres petites saletés.

Mais c'est toi qui voit.

Pour le reste, on finit de nettoyer :

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

______________

Tu as une box ou un routeur ?

Lyonnais92 · Answer

Bonsoir,

le rapport de ToolsCleaner stp.

Lyonnais92 · Answer

Re,

on fera sans.

Fais redémarrer l'ordi.

Si tout se passe bien, je pense que on a fini.

Lyonnais92 · Answer

Re,

de rien pour l'aide.

J'espère moi aussi ne pas te revoir sur un forum Virus/sécu.

Je mets le post en résolu.

Mais tu réouvres si nécessaire.

Lyonnais92 · Answer

Bonjour,

comme je ne sais pas ce que tu as fait ....

Tu n'as pas fait le post  11 ?

Si tu l'as fait, tu supprimes C:\QooBox

cirriusc · Answer

MERCI ENCORE, effectivement suite aux manip du post N°11 ça va bcp mieux ... ToolsCleaner2 a aussi supprimé C:\QooBox   ;   et il voulait aussi me supprimer "HiJackThis.exe" ; normal ? j'l'ai pas laissé faire en gardant "HiJackThis.exe" actif ! j'espère que ça aidera les autres, bonne chance, à+

Lyonnais92 · Answer

Bonjour,

tu aurais pu supprimer aussi Hijackthis.

Supprime aussi Toolsclaner et C:\Tcleaner.txt.

Trojan vundo insupprimable

13 réponses

Votre réponse

Discussions similaires

Newsletters