Virus : désinfecter et réparer les dégats
Résolu/Fermé
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
-
3 juil. 2008 à 12:28
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 10 juil. 2008 à 14:58
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 10 juil. 2008 à 14:58
A voir également:
- Virus : désinfecter et réparer les dégats
- Svchost.exe virus - Guide
- Vérificateur de lien virus - Guide
- Produkey virus ✓ - Forum Windows 10
- Faux message virus iphone - Forum iPhone
- Bluestacks virus ✓ - Forum Logiciels
22 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
3 juil. 2008 à 14:33
3 juil. 2008 à 14:33
slt,
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
______________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
______________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
sunmagellan
Messages postés
872
Date d'inscription
samedi 18 août 2007
Statut
Membre
Dernière intervention
6 janvier 2021
103
6 juil. 2008 à 01:00
6 juil. 2008 à 01:00
http://siri.urz.free.fr/Fix/SmitfraudFix.php
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
6 juil. 2008 à 10:42
6 juil. 2008 à 10:42
pour reparer windows
https://www.pcastuces.com/pratique/windows/xp/default.htm
ou ici
http://www.informatruc.com/reparer-windows-xp/
https://www.pcastuces.com/pratique/windows/xp/default.htm
ou ici
http://www.informatruc.com/reparer-windows-xp/
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
6 juil. 2008 à 21:54
6 juil. 2008 à 21:54
Salut
Alors j'ai téléchargé et installé MalwareByte's Anti-Malware.
J'ai lancé un premier scann sous windows en mode sans échec. Il m'a trouvé 20 infections (donc plusieurs par Vundo). Je lui est donc fait supprimer ce qu'il a trouvé et il m'a demandé de redémarer windows pour finir la désinfection. J'ai donc redémarré l'ordinateur a nouveau en mode sans échec et j'ai refait un scann. Il m'a trouvé 15 infections. Donc visiblement, le coup d'avant il a pas tous traité !! A la fin du 2ème scann, je lui demande de supprimer ce qu'il a trouvé et il me demande a nouveau de redémarrer l'ordinateur. Je le redémarre a nouveau, mais en mode normal cette foi. Je vais sur internet et j'ai a nouveau des fenêtres de pub. Il reste donc des trucs que MalwareByte's Anti-Malware n'a toujours pas supprimé.
Voici le premier rapport de MalwareByte's Anti-Malware
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 926
Windows 5.1.2600 Service Pack 2
14:04:12 06/07/2008
mbam-log-7-6-2008 (14-04-12).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 130871
Temps écoulé: 1 hour(s), 17 minute(s), 39 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9c368761 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\etdsbiqr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqibsdte.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\Jeux\Local Settings\Temporary Internet Files\Content.IE5\L1QBECWW\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Lucile\Local Settings\Temporary Internet Files\Content.IE5\DKSZRRQC\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\99STQ0AK\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcvt4j0ec4e.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRLdAtq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcvt4j0ec4e.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\media.php (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Et voici le 2ème :
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 926
Windows 5.1.2600 Service Pack 2
19:50:11 06/07/2008
mbam-log-7-6-2008 (19-50-11).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 131009
Temps écoulé: 1 hour(s), 17 minute(s), 9 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Delete on reboot.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.
Je vais maintenand faire le log hijackthis et je vous le transmet.
Merci pour votre aide.
F-MATH
Alors j'ai téléchargé et installé MalwareByte's Anti-Malware.
J'ai lancé un premier scann sous windows en mode sans échec. Il m'a trouvé 20 infections (donc plusieurs par Vundo). Je lui est donc fait supprimer ce qu'il a trouvé et il m'a demandé de redémarer windows pour finir la désinfection. J'ai donc redémarré l'ordinateur a nouveau en mode sans échec et j'ai refait un scann. Il m'a trouvé 15 infections. Donc visiblement, le coup d'avant il a pas tous traité !! A la fin du 2ème scann, je lui demande de supprimer ce qu'il a trouvé et il me demande a nouveau de redémarrer l'ordinateur. Je le redémarre a nouveau, mais en mode normal cette foi. Je vais sur internet et j'ai a nouveau des fenêtres de pub. Il reste donc des trucs que MalwareByte's Anti-Malware n'a toujours pas supprimé.
Voici le premier rapport de MalwareByte's Anti-Malware
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 926
Windows 5.1.2600 Service Pack 2
14:04:12 06/07/2008
mbam-log-7-6-2008 (14-04-12).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 130871
Temps écoulé: 1 hour(s), 17 minute(s), 39 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9c368761 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\etdsbiqr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqibsdte.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\Jeux\Local Settings\Temporary Internet Files\Content.IE5\L1QBECWW\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Lucile\Local Settings\Temporary Internet Files\Content.IE5\DKSZRRQC\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\99STQ0AK\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcvt4j0ec4e.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRLdAtq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcvt4j0ec4e.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\media.php (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Et voici le 2ème :
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 926
Windows 5.1.2600 Service Pack 2
19:50:11 06/07/2008
mbam-log-7-6-2008 (19-50-11).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 131009
Temps écoulé: 1 hour(s), 17 minute(s), 9 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Delete on reboot.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.
Je vais maintenand faire le log hijackthis et je vous le transmet.
Merci pour votre aide.
F-MATH
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
6 juil. 2008 à 22:06
6 juil. 2008 à 22:06
Salut
j'ai donc installer hijackthis. J'ai ensuite crée un dossier hijackthis dans c ou j'y ai ensuite copier/coller hijackthis.exe que j'ai renommé en eden.exe
Voici le rapport :
C:\Logiciels\Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\eden.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {84C53226-C282-41FE-A4B4-8F05CC5EC24B} - C:\WINDOWS\system32\vtUoomMd.dll
O2 - BHO: (no name) - {FC73EF22-9188-41A7-AEC5-9D42BC1E240D} - C:\WINDOWS\system32\urqNFuvu.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [ClamWin] "C:\Logiciels\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Logiciels\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [McAfee Backup] C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe
O4 - HKLM\..\Run: [9c368761] rundll32.exe "C:\WINDOWS\system32\orxejpgp.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: vtUoomMd - C:\WINDOWS\SYSTEM32\vtUoomMd.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Logiciels\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
j'ai donc installer hijackthis. J'ai ensuite crée un dossier hijackthis dans c ou j'y ai ensuite copier/coller hijackthis.exe que j'ai renommé en eden.exe
Voici le rapport :
C:\Logiciels\Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\eden.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {84C53226-C282-41FE-A4B4-8F05CC5EC24B} - C:\WINDOWS\system32\vtUoomMd.dll
O2 - BHO: (no name) - {FC73EF22-9188-41A7-AEC5-9D42BC1E240D} - C:\WINDOWS\system32\urqNFuvu.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [ClamWin] "C:\Logiciels\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Logiciels\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [McAfee Backup] C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe
O4 - HKLM\..\Run: [9c368761] rundll32.exe "C:\WINDOWS\system32\orxejpgp.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: vtUoomMd - C:\WINDOWS\SYSTEM32\vtUoomMd.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Logiciels\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
7 juil. 2008 à 10:19
7 juil. 2008 à 10:19
ok il en reste
Télécharge Combofix de sUBs : aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Télécharge Combofix de sUBs : aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
sunmagellan
Messages postés
872
Date d'inscription
samedi 18 août 2007
Statut
Membre
Dernière intervention
6 janvier 2021
103
7 juil. 2008 à 11:15
7 juil. 2008 à 11:15
tu as essayé smitfraudfix ?
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
7 juil. 2008 à 11:17
7 juil. 2008 à 11:17
slt les infections sont de type vundo
ici et smitfraudfix n'agit pas dessus
O2 - BHO: (no name) - {84C53226-C282-41FE-A4B4-8F05CC5EC24B} - C:\WINDOWS\system32\vtUoomMd.dll
O2 - BHO: (no name) - {FC73EF22-9188-41A7-AEC5-9D42BC1E240D} - C:\WINDOWS\system32\urqNFuvu.dll
O4 - HKLM\..\Run: [9c368761] rundll32.exe "C:\WINDOWS\system32\orxejpgp.dll",b
O20 - Winlogon Notify: vtUoomMd - C:\WINDOWS\SYSTEM32\vtUoomMd.dll
ici et smitfraudfix n'agit pas dessus
O2 - BHO: (no name) - {84C53226-C282-41FE-A4B4-8F05CC5EC24B} - C:\WINDOWS\system32\vtUoomMd.dll
O2 - BHO: (no name) - {FC73EF22-9188-41A7-AEC5-9D42BC1E240D} - C:\WINDOWS\system32\urqNFuvu.dll
O4 - HKLM\..\Run: [9c368761] rundll32.exe "C:\WINDOWS\system32\orxejpgp.dll",b
O20 - Winlogon Notify: vtUoomMd - C:\WINDOWS\SYSTEM32\vtUoomMd.dll
sunmagellan
Messages postés
872
Date d'inscription
samedi 18 août 2007
Statut
Membre
Dernière intervention
6 janvier 2021
103
7 juil. 2008 à 11:21
7 juil. 2008 à 11:21
ok
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
7 juil. 2008 à 19:53
7 juil. 2008 à 19:53
Salut
Ok je vais utiliser Combofix.
Par contre, j'aimerais comprendre un peu ce que je fait parce que je m'aperçoit que niveau lutte contre les trojan et autre, je suis un peux largué.
MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?
Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?
En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?
Merci
F-MATH
Ok je vais utiliser Combofix.
Par contre, j'aimerais comprendre un peu ce que je fait parce que je m'aperçoit que niveau lutte contre les trojan et autre, je suis un peux largué.
MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?
Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?
En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?
Merci
F-MATH
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
7 juil. 2008 à 20:18
7 juil. 2008 à 20:18
MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?
OUI C'est Ca et c'est le mieux actuellement
______________
Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?
oui vundo est très coriace, il faut utiliser des logiciels specialisés, comme malwarebyte's et surtout le top combofi pour cela
mais d'autres logiciels parfois : pour info:
http://www.secuser.com/alertes/2005/vundo-virtumonde.htm
________________
En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?
oui ils font souvent en utiliser plusieurs
OUI C'est Ca et c'est le mieux actuellement
______________
Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?
oui vundo est très coriace, il faut utiliser des logiciels specialisés, comme malwarebyte's et surtout le top combofi pour cela
mais d'autres logiciels parfois : pour info:
http://www.secuser.com/alertes/2005/vundo-virtumonde.htm
________________
En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?
oui ils font souvent en utiliser plusieurs
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
8 juil. 2008 à 10:54
8 juil. 2008 à 10:54
Salut
J'ai donc executé combofix.
Voici le rapport :
ComboFix 08-07-05.1 - Mathieu 2008-07-08 10:12:24.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.679 [GMT 2:00]
Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\crspuorb.ini
C:\WINDOWS\system32\ddcAsspP.dll
C:\WINDOWS\system32\fkuiqtbo.ini
C:\WINDOWS\system32\kSvxyJjl.ini
C:\WINDOWS\system32\kSvxyJjl.ini2
C:\WINDOWS\system32\ljJyxvSk.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJbayAS.dll
C:\WINDOWS\system32\mVvxyyxx.ini
C:\WINDOWS\system32\mVvxyyxx.ini2
C:\WINDOWS\system32\pgpjexro.ini
C:\WINDOWS\system32\PpssAcdd.ini
C:\WINDOWS\system32\PpssAcdd.ini2
C:\WINDOWS\system32\qqwmhywf.ini
C:\WINDOWS\system32\qxdxwpjh.ini
C:\WINDOWS\system32\SAyabJlm.ini
C:\WINDOWS\system32\SAyabJlm.ini2
C:\WINDOWS\system32\tiftueuo.ini
C:\WINDOWS\system32\urqNFuvu.dll
C:\WINDOWS\system32\uvuFNqru.ini
C:\WINDOWS\system32\uvuFNqru.ini2
C:\WINDOWS\system32\vhjnyqea.ini
C:\WINDOWS\system32\xtcxdfjv.ini
C:\WINDOWS\system32\xxyyxvVm.dll
C:\WINDOWS\temp\perflib_perfdata_1cc.dat
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-08 to 2008-07-08 ))))))))))))))))))))))))))))))))))))
.
2008-07-07 21:54 . 2008-07-07 21:54 89,088 --a------ C:\WINDOWS\system32\aeqynjhv.dll
2008-07-07 14:37 . 2008-07-07 14:37 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\McAfee
2008-07-06 22:01 . 2008-07-06 22:02 <REP> d-------- C:\HijackThis
2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-06 11:05 . 2008-07-06 11:05 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 11:04 . 2008-07-06 11:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-05 16:40 . 2008-07-05 16:40 <REP> d-------- C:\Documents and Settings\Jeux\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 <REP> d-------- C:\Documents and Settings\Lucile\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm
2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm
2008-07-03 12:37 . 2008-07-03 12:37 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee
2008-06-30 18:39 . 2008-06-30 18:41 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\rhcrt4j0ec4e
2008-06-30 18:35 . 2008-06-30 18:35 28,288 --------- C:\WINDOWS\system32\vtUoomMd.dll
2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm
2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm
2008-06-22 10:15 . 2008-06-22 12:36 <REP> d-------- C:\Images CD
2008-06-22 09:53 . 2008-06-22 09:53 <REP> d-------- C:\Program Files\Alcohol Soft
2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini
2008-06-20 22:06 . 2008-06-30 18:34 <REP> d-------- C:\Program Files\uTorrent
2008-06-20 22:05 . 2008-06-30 18:29 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent
2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys
2008-06-15 14:28 . 2008-06-15 14:28 <REP> d-------- C:\Program Files\Fichiers communs\TI Shared
2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 21:16 . 2008-06-12 21:16 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-09 14:37 . 2008-06-09 14:37 <REP> d--h----- C:\WINDOWS\PIF
2008-06-08 17:26 . 2008-06-08 17:26 268 --ah----- C:\sqmdata02.sqm
2008-06-08 17:26 . 2008-06-08 17:26 244 --ah----- C:\sqmnoopt02.sqm
2008-06-08 11:52 . 2008-06-08 11:52 45 --a------ C:\WINDOWS\system32\initdebug.nfo
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-06 19:05 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2
2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee
2008-06-15 11:35 --------- d-----w C:\Program Files\Google
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2
2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc
2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab
2008-06-01 13:40 --------- d-----w C:\Program Files\Java
2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-01 07:41 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-01 07:41 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL
2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor
2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc
2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft
2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer
2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft
2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-30 19:37 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-18 17:34 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2008-04-18 17:34 2,272 ----a-w C:\WINDOWS\system32\w95inf16.dll
2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP
2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP
2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP
2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP
1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
2008-06-30 18:35 28288 --------- C:\WINDOWS\system32\vtUoomMd.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 21:22 589824]
"mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
"SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
"McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576]
"ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824]
"Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
"MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]
"9c368761"="C:\WINDOWS\system32\aeqynjhv.dll" [2008-07-07 21:54 89088]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"= "C:\WINDOWS\system32\vtUoomMd.dll" [2008-06-30 18:35 28288]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUoomMd]
2008-06-30 18:35 28288 C:\WINDOWS\system32\vtUoomMd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Logiciels\\iTunes\\iTunes.exe"=
"C:\\Jeux\\ArmA Demo\\ArmADemo.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23]
R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe'
"2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-08 10:22:04
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\vtUoomMd.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\Program Files\SiteAdvisor\6261\saHook.dll
-> C:\WINDOWS\system32\aeqynjhv.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe
C:\Program Files\McAfee\MPF\MpfSrv.exe
C:\Program Files\McAfee\MSK\msksrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-08 10:29:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-08 08:28:55
Pre-Run: 56,310,734,848 octets libres
Post-Run: 56,817,934,336 octets libres
208 --- E O F --- 2008-06-20 13:35:45
Merci
F-MATH
J'ai donc executé combofix.
Voici le rapport :
ComboFix 08-07-05.1 - Mathieu 2008-07-08 10:12:24.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.679 [GMT 2:00]
Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\crspuorb.ini
C:\WINDOWS\system32\ddcAsspP.dll
C:\WINDOWS\system32\fkuiqtbo.ini
C:\WINDOWS\system32\kSvxyJjl.ini
C:\WINDOWS\system32\kSvxyJjl.ini2
C:\WINDOWS\system32\ljJyxvSk.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJbayAS.dll
C:\WINDOWS\system32\mVvxyyxx.ini
C:\WINDOWS\system32\mVvxyyxx.ini2
C:\WINDOWS\system32\pgpjexro.ini
C:\WINDOWS\system32\PpssAcdd.ini
C:\WINDOWS\system32\PpssAcdd.ini2
C:\WINDOWS\system32\qqwmhywf.ini
C:\WINDOWS\system32\qxdxwpjh.ini
C:\WINDOWS\system32\SAyabJlm.ini
C:\WINDOWS\system32\SAyabJlm.ini2
C:\WINDOWS\system32\tiftueuo.ini
C:\WINDOWS\system32\urqNFuvu.dll
C:\WINDOWS\system32\uvuFNqru.ini
C:\WINDOWS\system32\uvuFNqru.ini2
C:\WINDOWS\system32\vhjnyqea.ini
C:\WINDOWS\system32\xtcxdfjv.ini
C:\WINDOWS\system32\xxyyxvVm.dll
C:\WINDOWS\temp\perflib_perfdata_1cc.dat
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-08 to 2008-07-08 ))))))))))))))))))))))))))))))))))))
.
2008-07-07 21:54 . 2008-07-07 21:54 89,088 --a------ C:\WINDOWS\system32\aeqynjhv.dll
2008-07-07 14:37 . 2008-07-07 14:37 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\McAfee
2008-07-06 22:01 . 2008-07-06 22:02 <REP> d-------- C:\HijackThis
2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-06 11:05 . 2008-07-06 11:05 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 11:04 . 2008-07-06 11:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-05 16:40 . 2008-07-05 16:40 <REP> d-------- C:\Documents and Settings\Jeux\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 <REP> d-------- C:\Documents and Settings\Lucile\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm
2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm
2008-07-03 12:37 . 2008-07-03 12:37 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee
2008-06-30 18:39 . 2008-06-30 18:41 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\rhcrt4j0ec4e
2008-06-30 18:35 . 2008-06-30 18:35 28,288 --------- C:\WINDOWS\system32\vtUoomMd.dll
2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm
2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm
2008-06-22 10:15 . 2008-06-22 12:36 <REP> d-------- C:\Images CD
2008-06-22 09:53 . 2008-06-22 09:53 <REP> d-------- C:\Program Files\Alcohol Soft
2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini
2008-06-20 22:06 . 2008-06-30 18:34 <REP> d-------- C:\Program Files\uTorrent
2008-06-20 22:05 . 2008-06-30 18:29 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent
2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys
2008-06-15 14:28 . 2008-06-15 14:28 <REP> d-------- C:\Program Files\Fichiers communs\TI Shared
2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 21:16 . 2008-06-12 21:16 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-09 14:37 . 2008-06-09 14:37 <REP> d--h----- C:\WINDOWS\PIF
2008-06-08 17:26 . 2008-06-08 17:26 268 --ah----- C:\sqmdata02.sqm
2008-06-08 17:26 . 2008-06-08 17:26 244 --ah----- C:\sqmnoopt02.sqm
2008-06-08 11:52 . 2008-06-08 11:52 45 --a------ C:\WINDOWS\system32\initdebug.nfo
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-06 19:05 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2
2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee
2008-06-15 11:35 --------- d-----w C:\Program Files\Google
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2
2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc
2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab
2008-06-01 13:40 --------- d-----w C:\Program Files\Java
2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-01 07:41 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-01 07:41 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL
2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor
2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc
2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft
2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer
2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft
2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-30 19:37 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-18 17:34 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2008-04-18 17:34 2,272 ----a-w C:\WINDOWS\system32\w95inf16.dll
2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP
2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP
2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP
2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP
1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
2008-06-30 18:35 28288 --------- C:\WINDOWS\system32\vtUoomMd.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 21:22 589824]
"mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
"SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
"McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576]
"ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824]
"Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
"MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]
"9c368761"="C:\WINDOWS\system32\aeqynjhv.dll" [2008-07-07 21:54 89088]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"= "C:\WINDOWS\system32\vtUoomMd.dll" [2008-06-30 18:35 28288]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUoomMd]
2008-06-30 18:35 28288 C:\WINDOWS\system32\vtUoomMd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Logiciels\\iTunes\\iTunes.exe"=
"C:\\Jeux\\ArmA Demo\\ArmADemo.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23]
R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe'
"2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-Cmaudio - cmicnfg.cpl
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-08 10:22:04
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\vtUoomMd.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\Program Files\SiteAdvisor\6261\saHook.dll
-> C:\WINDOWS\system32\aeqynjhv.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe
C:\Program Files\McAfee\MPF\MpfSrv.exe
C:\Program Files\McAfee\MSK\msksrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-08 10:29:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-08 08:28:55
Pre-Run: 56,310,734,848 octets libres
Post-Run: 56,817,934,336 octets libres
208 --- E O F --- 2008-06-20 13:35:45
Merci
F-MATH
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
8 juil. 2008 à 11:51
8 juil. 2008 à 11:51
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
C:\WINDOWS\system32\aeqynjhv.dll
C:\WINDOWS\system32\vtUoomMd.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"9c368761"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUoomMd]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis et dis tes soucis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
C:\WINDOWS\system32\aeqynjhv.dll
C:\WINDOWS\system32\vtUoomMd.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"9c368761"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUoomMd]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis et dis tes soucis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
8 juil. 2008 à 12:51
8 juil. 2008 à 12:51
Salut
Ok je vais faire ça. Mais ça correspond a quoi en fait ?
Merci
F-MATH
Ok je vais faire ça. Mais ça correspond a quoi en fait ?
Merci
F-MATH
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
8 juil. 2008 à 13:16
8 juil. 2008 à 13:16
c'est pour virer les 2 fichiers inféctés vundo de ton ordi et quelques clés du registre
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
9 juil. 2008 à 18:06
9 juil. 2008 à 18:06
Salut
J'ai donc fait la manipulation que tu m'a dit avec le glisser/déposé.
Voici le log combofix :
ComboFix 08-07-05.1 - Mathieu 2008-07-09 17:14:45.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.532 [GMT 2:00]
Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe
Command switches used :: C:\Documents and Settings\Mathieu\Bureau\CFscript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE ::
C:\WINDOWS\system32\aeqynjhv.dll
C:\WINDOWS\system32\vtUoomMd.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\amwshcfq.ini
C:\WINDOWS\system32\dngaunjx.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pmnnLCvW.dll
C:\WINDOWS\system32\vtUoomMd.dll
C:\WINDOWS\system32\WvCLnnmp.ini
C:\WINDOWS\system32\WvCLnnmp.ini2
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
.
2008-07-09 17:22 . 2008-07-09 17:22 <REP> d-------- C:\WINDOWS\LastGood
2008-07-09 15:27 . 2008-07-09 15:27 89,088 --a------ C:\WINDOWS\system32\qfchswma.dll
2008-07-08 10:29 . 2008-07-08 10:29 <REP> d-------- C:\Documents and Settings\François
2008-07-08 10:29 . <REP> C:\Documents and Settings\Franþois\Local Settings
2008-07-08 10:29 . <REP> C:\Documents and Settings\Franþois\Local Settings
2008-07-08 10:29 . 2008-07-08 10:29 294 ---hs---- C:\WINDOWS\system32\vhjnyqea.ini
2008-07-07 14:37 . 2008-07-07 14:37 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\McAfee
2008-07-06 22:01 . 2008-07-06 22:02 <REP> d-------- C:\HijackThis
2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-06 11:05 . 2008-07-06 11:05 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 11:04 . 2008-07-06 11:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-05 16:40 . 2008-07-05 16:40 <REP> d-------- C:\Documents and Settings\Jeux\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 <REP> d-------- C:\Documents and Settings\Lucile\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm
2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm
2008-07-03 12:37 . 2008-07-03 12:37 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee
2008-06-30 18:39 . 2008-06-30 18:41 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\rhcrt4j0ec4e
2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm
2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm
2008-06-22 10:15 . 2008-06-22 12:36 <REP> d-------- C:\Images CD
2008-06-22 09:53 . 2008-06-22 09:53 <REP> d-------- C:\Program Files\Alcohol Soft
2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini
2008-06-20 22:06 . 2008-06-30 18:34 <REP> d-------- C:\Program Files\uTorrent
2008-06-20 22:05 . 2008-06-30 18:29 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent
2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys
2008-06-15 14:28 . 2008-06-15 14:28 <REP> d-------- C:\Program Files\Fichiers communs\TI Shared
2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 21:16 . 2008-06-12 21:16 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-09 14:37 . 2008-06-09 14:37 <REP> d--h----- C:\WINDOWS\PIF
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 09:16 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2
2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee
2008-06-15 11:35 --------- d-----w C:\Program Files\Google
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2
2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc
2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab
2008-06-01 13:40 --------- d-----w C:\Program Files\Java
2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL
2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor
2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc
2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft
2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer
2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft
2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss
2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP
2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP
2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP
2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP
1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll
.
((((((((((((((((((((((((((((( snapshot@2008-07-08_10.28.28.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-08 08:20:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-09 15:20:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-09 15:20:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_fc.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 21:22 589824]
"mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
"SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
"McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576]
"ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824]
"Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
"MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Logiciels\\iTunes\\iTunes.exe"=
"C:\\Jeux\\ArmA Demo\\ArmADemo.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23]
R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe'
"2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 17:27:23
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe
C:\Program Files\McAfee\MPF\MpfSrv.exe
C:\Program Files\McAfee\MSK\msksrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-09 17:33:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-09 15:32:59
ComboFix2.txt 2008-07-08 08:29:03
Pre-Run: 56,829,935,616 octets libres
Post-Run: 56,808,579,072 octets libres
181 --- E O F --- 2008-06-20 13:35:45
J'ai refait un coup de Hijackthis et voici le log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:58, on 09/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Logiciels\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\snmp.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\SiteAdvisor\6261\SiteAdv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Logiciels\ClamWin\bin\ClamTray.exe
C:\Logiciels\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Logiciels\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [ClamWin] "C:\Logiciels\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Logiciels\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [McAfee Backup] C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Logiciels\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
J'ai donc fait la manipulation que tu m'a dit avec le glisser/déposé.
Voici le log combofix :
ComboFix 08-07-05.1 - Mathieu 2008-07-09 17:14:45.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.532 [GMT 2:00]
Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe
Command switches used :: C:\Documents and Settings\Mathieu\Bureau\CFscript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE ::
C:\WINDOWS\system32\aeqynjhv.dll
C:\WINDOWS\system32\vtUoomMd.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\amwshcfq.ini
C:\WINDOWS\system32\dngaunjx.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pmnnLCvW.dll
C:\WINDOWS\system32\vtUoomMd.dll
C:\WINDOWS\system32\WvCLnnmp.ini
C:\WINDOWS\system32\WvCLnnmp.ini2
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
.
2008-07-09 17:22 . 2008-07-09 17:22 <REP> d-------- C:\WINDOWS\LastGood
2008-07-09 15:27 . 2008-07-09 15:27 89,088 --a------ C:\WINDOWS\system32\qfchswma.dll
2008-07-08 10:29 . 2008-07-08 10:29 <REP> d-------- C:\Documents and Settings\François
2008-07-08 10:29 . <REP> C:\Documents and Settings\Franþois\Local Settings
2008-07-08 10:29 . <REP> C:\Documents and Settings\Franþois\Local Settings
2008-07-08 10:29 . 2008-07-08 10:29 294 ---hs---- C:\WINDOWS\system32\vhjnyqea.ini
2008-07-07 14:37 . 2008-07-07 14:37 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\McAfee
2008-07-06 22:01 . 2008-07-06 22:02 <REP> d-------- C:\HijackThis
2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-06 11:05 . 2008-07-06 11:05 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 11:04 . 2008-07-06 11:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-05 16:40 . 2008-07-05 16:40 <REP> d-------- C:\Documents and Settings\Jeux\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 <REP> d-------- C:\Documents and Settings\Lucile\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm
2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm
2008-07-03 12:37 . 2008-07-03 12:37 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee
2008-06-30 18:39 . 2008-06-30 18:41 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\rhcrt4j0ec4e
2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm
2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm
2008-06-22 10:15 . 2008-06-22 12:36 <REP> d-------- C:\Images CD
2008-06-22 09:53 . 2008-06-22 09:53 <REP> d-------- C:\Program Files\Alcohol Soft
2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini
2008-06-20 22:06 . 2008-06-30 18:34 <REP> d-------- C:\Program Files\uTorrent
2008-06-20 22:05 . 2008-06-30 18:29 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent
2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys
2008-06-15 14:28 . 2008-06-15 14:28 <REP> d-------- C:\Program Files\Fichiers communs\TI Shared
2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 21:16 . 2008-06-12 21:16 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-09 14:37 . 2008-06-09 14:37 <REP> d--h----- C:\WINDOWS\PIF
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 09:16 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2
2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee
2008-06-15 11:35 --------- d-----w C:\Program Files\Google
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2
2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc
2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab
2008-06-01 13:40 --------- d-----w C:\Program Files\Java
2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL
2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor
2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc
2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft
2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer
2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft
2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss
2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP
2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP
2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP
2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP
1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll
.
((((((((((((((((((((((((((((( snapshot@2008-07-08_10.28.28.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-08 08:20:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-09 15:20:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-09 15:20:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_fc.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 21:22 589824]
"mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
"SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
"McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576]
"ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824]
"Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
"MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Logiciels\\iTunes\\iTunes.exe"=
"C:\\Jeux\\ArmA Demo\\ArmADemo.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23]
R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe'
"2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 17:27:23
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe
C:\Program Files\McAfee\MPF\MpfSrv.exe
C:\Program Files\McAfee\MSK\msksrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-09 17:33:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-09 15:32:59
ComboFix2.txt 2008-07-08 08:29:03
Pre-Run: 56,829,935,616 octets libres
Post-Run: 56,808,579,072 octets libres
181 --- E O F --- 2008-06-20 13:35:45
J'ai refait un coup de Hijackthis et voici le log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:58, on 09/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Logiciels\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\snmp.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\SiteAdvisor\6261\SiteAdv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Logiciels\ClamWin\bin\ClamTray.exe
C:\Logiciels\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Logiciels\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [ClamWin] "C:\Logiciels\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Logiciels\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [McAfee Backup] C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Logiciels\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
9 juil. 2008 à 18:26
9 juil. 2008 à 18:26
ok tu peux remettre firefox par defaut si tu veux via les option de firefox puis general
_______________
analyse ce fichier sur virus total et colle le rapport: https://www.virustotal.com/gui/
C:\WINDOWS\system32\qfchswma.dll
_______________
analyse ce fichier sur virus total et colle le rapport: https://www.virustotal.com/gui/
C:\WINDOWS\system32\qfchswma.dll
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
9 juil. 2008 à 21:50
9 juil. 2008 à 21:50
Salut
Voici le résultat
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.10.0 2008.07.09 -
AntiVir 7.8.0.64 2008.07.09 -
Authentium 5.1.0.4 2008.07.08 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.09 -
BitDefender 7.2 2008.07.09 -
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.09 -
DrWeb 4.44.0.09170 2008.07.09 Trojan.Virtumod.based.18
eSafe 7.0.17.0 2008.07.08 Suspicious File
eTrust-Vet 31.6.5940 2008.07.09 -
Ewido 4.0 2008.07.09 -
F-Prot 4.4.4.56 2008.07.08 -
F-Secure 7.60.13501.0 2008.07.08 -
Fortinet 3.14.0.0 2008.07.09 -
GData 2.0.7306.1023 2008.07.09 -
Ikarus T3.1.1.26.0 2008.07.09 Trojan.Win32.Monderb
Kaspersky 7.0.0.125 2008.07.09 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.09 Trojan:Win32/Vundo.gen!E
NOD32v2 3255 2008.07.09 -
Norman 5.80.02 2008.07.09 -
Panda 9.0.0.4 2008.07.09 Suspicious file
Prevx1 V2 2008.07.09 Fraudulent Security Program
Rising 20.52.22.00 2008.07.09 -
Sophos 4.31.0 2008.07.09 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.09 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.09 -
VBA32 3.12.6.8 2008.07.08 -
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.09 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 89088 bytes
MD5...: 254daea47110b81436254dac4d6ae36d
SHA1..: 1714c8c0df5cbcae3264e462d5fe2b40c6610d2e
SHA256: 703e17edb8a7533a29c22a97af7db2aa1713654ddbe389498e500fa89faed20d
SHA512: 02904b4ab9b43da42186d8500ac04485bf89d5a9d3f05c514a0b9c0dd5b6d603
6c41598502ac07c4c757aade2a5cf7aecec00c532f23d0ba12ec8f9e306f7784
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100014a1
timedatestamp.....: 0x486b4ed7 (Wed Jul 02 09:48:07 2008)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.33 5adf11330d480bf21b1a47b717719524
.rdata 0x3000 0x1000 0x600 3.81 0d779f40936ded1dc0fb2d3e40c0cb49
CODE 0x4000 0x1000 0x800 7.91 63f256b8b79d17d26420815f9ad1e715
CODE 0x5000 0x1000 0x400 7.81 c366b95c508010d1c4a8a1ea1bf3d0bd
.data 0x6000 0x2000 0x1400 7.96 4d6c89074197e2fa1b3cf1bf686ca3fc
.data 0x8000 0x1e000 0xf800 7.99 ec7a210b202c87e8ce32eaf5512baa2a
( 1 imports )
> user32.dll: BeginPaint, EndPaint, GetDesktopWindow, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4609779400B8B1205C4701FF0182650
L'adresse : http://www.virustotal.com/fr/analisis/b9ad8829ee90ea698505c52cbe155960
Alors ca donne quoi ?
Merci
F-MATH
Voici le résultat
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.10.0 2008.07.09 -
AntiVir 7.8.0.64 2008.07.09 -
Authentium 5.1.0.4 2008.07.08 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.09 -
BitDefender 7.2 2008.07.09 -
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.09 -
DrWeb 4.44.0.09170 2008.07.09 Trojan.Virtumod.based.18
eSafe 7.0.17.0 2008.07.08 Suspicious File
eTrust-Vet 31.6.5940 2008.07.09 -
Ewido 4.0 2008.07.09 -
F-Prot 4.4.4.56 2008.07.08 -
F-Secure 7.60.13501.0 2008.07.08 -
Fortinet 3.14.0.0 2008.07.09 -
GData 2.0.7306.1023 2008.07.09 -
Ikarus T3.1.1.26.0 2008.07.09 Trojan.Win32.Monderb
Kaspersky 7.0.0.125 2008.07.09 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.09 Trojan:Win32/Vundo.gen!E
NOD32v2 3255 2008.07.09 -
Norman 5.80.02 2008.07.09 -
Panda 9.0.0.4 2008.07.09 Suspicious file
Prevx1 V2 2008.07.09 Fraudulent Security Program
Rising 20.52.22.00 2008.07.09 -
Sophos 4.31.0 2008.07.09 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.09 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.09 -
VBA32 3.12.6.8 2008.07.08 -
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.09 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 89088 bytes
MD5...: 254daea47110b81436254dac4d6ae36d
SHA1..: 1714c8c0df5cbcae3264e462d5fe2b40c6610d2e
SHA256: 703e17edb8a7533a29c22a97af7db2aa1713654ddbe389498e500fa89faed20d
SHA512: 02904b4ab9b43da42186d8500ac04485bf89d5a9d3f05c514a0b9c0dd5b6d603
6c41598502ac07c4c757aade2a5cf7aecec00c532f23d0ba12ec8f9e306f7784
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x100014a1
timedatestamp.....: 0x486b4ed7 (Wed Jul 02 09:48:07 2008)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.33 5adf11330d480bf21b1a47b717719524
.rdata 0x3000 0x1000 0x600 3.81 0d779f40936ded1dc0fb2d3e40c0cb49
CODE 0x4000 0x1000 0x800 7.91 63f256b8b79d17d26420815f9ad1e715
CODE 0x5000 0x1000 0x400 7.81 c366b95c508010d1c4a8a1ea1bf3d0bd
.data 0x6000 0x2000 0x1400 7.96 4d6c89074197e2fa1b3cf1bf686ca3fc
.data 0x8000 0x1e000 0xf800 7.99 ec7a210b202c87e8ce32eaf5512baa2a
( 1 imports )
> user32.dll: BeginPaint, EndPaint, GetDesktopWindow, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4609779400B8B1205C4701FF0182650
L'adresse : http://www.virustotal.com/fr/analisis/b9ad8829ee90ea698505c52cbe155960
Alors ca donne quoi ?
Merci
F-MATH
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
10 juil. 2008 à 06:58
10 juil. 2008 à 06:58
on vire
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINDOWS\system32\qfchswma.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
____________________
vire ce qui est dans moved files en allant dans poste detravail puis C puis otmovit
_____________________
installe spywareblaster: pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html
____________________
tu peux garder malwarebyte's antimalware en complément de ton antivirus
________________
pour virer le reste que je t'ai fais utiliser lance tools cleaner:
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
bonne suite
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
Citation :
C:\WINDOWS\system32\qfchswma.dll
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
____________________
vire ce qui est dans moved files en allant dans poste detravail puis C puis otmovit
_____________________
installe spywareblaster: pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html
____________________
tu peux garder malwarebyte's antimalware en complément de ton antivirus
________________
pour virer le reste que je t'ai fais utiliser lance tools cleaner:
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
bonne suite
F-MATH
Messages postés
89
Date d'inscription
samedi 9 avril 2005
Statut
Membre
Dernière intervention
11 janvier 2020
10 juil. 2008 à 10:26
10 juil. 2008 à 10:26
Salut
J'ai supprimer la dll avec OTMoveIt comme tu me l'a dit.
J'ai ensuite installer spywareblaster et j'ai immunisé le système.
J'ai ensuite utilisé tools cleaner pour supprimer les outils de désinfection. J'ai aussi viré combofix, OTMveIt et tools cleaner.
Donc maintenant, c'est bon le système est clean ?
Je vais effectivement garder malwarebyte's antimalware et je vais l'installer sur mes 2 autres ordis pour faire un contrôle.
Je les j'emmurerais aussi avec spywareblaster.
Merci
F-MATH
J'ai supprimer la dll avec OTMoveIt comme tu me l'a dit.
J'ai ensuite installer spywareblaster et j'ai immunisé le système.
J'ai ensuite utilisé tools cleaner pour supprimer les outils de désinfection. J'ai aussi viré combofix, OTMveIt et tools cleaner.
Donc maintenant, c'est bon le système est clean ?
Je vais effectivement garder malwarebyte's antimalware et je vais l'installer sur mes 2 autres ordis pour faire un contrôle.
Je les j'emmurerais aussi avec spywareblaster.
Merci
F-MATH
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
10 juil. 2008 à 11:34
10 juil. 2008 à 11:34
oui c'est bon
mets a jour juste java:
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/
mets a jour juste java:
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/
5 juil. 2008 à 23:30
Merci pour ton aide, je vais essayer tous ça et je vous redit quoi.
Par contre, une idée pour réparer les composants windows endommagé ?
Merci
F-MATH