Virus : désinfecter et réparer les dégats

Résolu
F-MATH Messages postés 91 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

J'ai été infecté par un virus que j'ai partiellement supprimé, mais pas complètement, et je n'arrive pas à réparer les dégâts qu'il m'a causé.

Quand ce virus m'a infecté, il m'a installer un logiciel appelé "Antivirus XP pro", il m'a changé mon fond d'écran en le remplaçant par un font d'écran bleu avec marqué dessus un message m'informant que j'étais infecté et que il me fallait un antivirus. De plus, il m'a viré les onglets permettant de changer le font d'écran et l'écran de veille dans les propriétés du bureau. Et il m'a désactivé Windows Update.
Mon antivirus McAfee l'a détecté et l'a supprimé.
J'ai ensuite lancé le PC en mode sans échec. J'ai lancé une analyse McAfee qui n'a rien trouvé.
J'ai lancé une analyse avec mon deuxième antivirus : clamwin.
Il m'a trouvé 3 fichiers infecté, mais il ne me propose pas de les supprimer.
Voici le rapport de clamwin :
Scan Started Wed Jul 02 07:54:21 2008

-------------------------------------------------------------------------------

C:\Documents and Settings\Mathieu\Local Settings\Temp\media.php: Trojan.Dropper-4103 FOUND

C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\GMJX2LR6\WebSoftCodecDrivern[1].exe: Trojan.Dropper-4103 FOUND

C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\XPQWAY4W\WebSoftCodecDrivern[1].exe: Trojan.Dropper-4103 FOUND

----------- SCAN SUMMARY -----------

Known viruses: 329008

Engine version: 0.93

Scanned directories: 8971

Scanned files: 85307

Infected files: 3

Data scanned: 21003.24 MB

Time: 12119.313 sec (201 m 59 s)

--------------------------------------

Completed

-------------------------------------

Malheureusement, j'arrive bien à trouver le premier fichier, mais pas les 2 autres. Donc je peux pas les supprimer manuellement.
J'ai donc cherché sur www.secuser.com ce qu'est "Trojan.Dropper" et il m'a donné cette réponse : http://www.secuser.com/alertes/2008/restarterf.htm
J'ai donc télécharger le petit logiciel MSNfix, qui m'a trouver une infection et a supprimer des fichiers. Mais ceux qu'il a supprimer ne correspondent pas aux fichiers détecter par clamwin. Je ne sais pas a quoi correspondent les fichier qu'il a supprimé.

Voici le rapport de MSNFix :
MSNFix 1.732

C:\Documents and Settings\Mathieu\Bureau\MSNFix
Fix exécuté le 03/07/2008 - 11:03:04,06 By Mathieu
mode normal

************************ Recherche les fichiers présents

... C:\DOCUME~1\Mathieu\LOCALS~1\Temp\removalfile.bat
... C:\DOCUME~1\Mathieu\LOCALS~1\Temp\removalfile.bat

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\Mathieu\LOCALS~1\Temp\removalfile.bat
.. OK ... C:\DOCUME~1\Mathieu\LOCALS~1\Temp\removalfile.bat

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

Aucun Fichier trouvé

************************ Fichiers suspects

Aucun Fichier trouvé

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 03072008_11095626.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Pourtant, je suis sur qu'il me reste quelque chose : je reçois de façon régulière des fenêtres de pub.
Comment faire pour supprimer ce qu'il reste, mes 2 antivirus sont a bout ?

Concernant les dégâts du virus, j'ai pus réactiver les onglets pour changer l'écran de veille et fond d'écran, mais par contre, il m'a aussi mit hors-servie windows update et l'utilitaire de suppression des logiciels malveillant de windows.
Comment réparer ces 2 modules de windows ?
Pour windows update, il me met le message suivant :
Le site ne peut pas continuer, car un ou plusieurs des services Windows suivants ne sont pas exécutés :

Mises à jour automatiques (permet au site de rechercher, de télécharger et d'installer les mises à jour prioritaires destinées à votre ordinateur)
Service de transfert intelligent en arrière-plan (BITS) (accélère le téléchargement et résout les problèmes liés aux éventuelles interruptions du processus)
Journal des événements (conserve l'historique des opérations de mise à jour pour faciliter la résolution des problèmes le cas échéant)
Pour vérifier que ces services sont exécutés :
1. Cliquez sur Démarrer, puis sur Exécuter.
2. Entrez services.msc, puis cliquez sur OK.
3. Dans la liste de services, double-cliquez sur Mises à jour automatiques, puis cliquez sur Propriétés.
4. Dans la liste Type de démarrage, sélectionnez Automatique et cliquez sur Appliquer.
5. Vérifiez que l'état associé au service est Démarré. Si le service est arrêté, cliquez sur le bouton Démarrer.
6. Dans la liste de services, double-cliquez sur Service de transfert intelligent en arrière-plan et cliquez sur Propriétés.
7. Dans la liste Type de démarrage, sélectionnez Manuel et cliquez sur Appliquer.
8. Vérifiez que l'état associé au service est Démarré. Si le service est arrêté, cliquez sur le bouton Démarrer.
9. Dans la liste de services, double-cliquez sur Journal des événements et cliquez sur Propriétés.
10. Dans la liste Type de démarrage, sélectionnez Automatique et cliquez sur Appliquer.
11. Vérifiez que l'état du service est Démarré. Si le service est arrêté, cliquez sur le bouton Démarrer.
Si le problème persiste, vous serez peut-être amené à demander de l'aide à l'une des ressources suivantes.

Seulement, impossible de remettre en service le module "Mises à jour automatiques", il y a une erreur.

Pourriez-vous m'aider ?

Merci

F-MATH
Configuration: Windows XP
Firefox 2.0.0.14

22 réponses

  • 1
  • 2
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    scan avec
    MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ______________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0
    1. F-MATH Messages postés 91 Statut Membre
       
      Salut

      Merci pour ton aide, je vais essayer tous ça et je vous redit quoi.
      Par contre, une idée pour réparer les composants windows endommagé ?

      Merci

      F-MATH
      0
  2. sunmagellan Messages postés 919 Date d'inscription   Statut Membre Dernière intervention   110
     
    http://siri.urz.free.fr/Fix/SmitfraudFix.php
    0
  3. F-MATH Messages postés 91 Statut Membre
     
    Salut

    Alors j'ai téléchargé et installé MalwareByte's Anti-Malware.
    J'ai lancé un premier scann sous windows en mode sans échec. Il m'a trouvé 20 infections (donc plusieurs par Vundo). Je lui est donc fait supprimer ce qu'il a trouvé et il m'a demandé de redémarer windows pour finir la désinfection. J'ai donc redémarré l'ordinateur a nouveau en mode sans échec et j'ai refait un scann. Il m'a trouvé 15 infections. Donc visiblement, le coup d'avant il a pas tous traité !! A la fin du 2ème scann, je lui demande de supprimer ce qu'il a trouvé et il me demande a nouveau de redémarrer l'ordinateur. Je le redémarre a nouveau, mais en mode normal cette foi. Je vais sur internet et j'ai a nouveau des fenêtres de pub. Il reste donc des trucs que MalwareByte's Anti-Malware n'a toujours pas supprimé.

    Voici le premier rapport de MalwareByte's Anti-Malware
    Malwarebytes' Anti-Malware 1.19
    Version de la base de données: 926
    Windows 5.1.2600 Service Pack 2

    14:04:12 06/07/2008
    mbam-log-7-6-2008 (14-04-12).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 130871
    Temps écoulé: 1 hour(s), 17 minute(s), 39 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 2
    Clé(s) du Registre infectée(s): 10
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 19

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
    C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9c368761 (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\etdsbiqr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\rqibsdte.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.
    C:\Documents and Settings\Jeux\Local Settings\Temporary Internet Files\Content.IE5\L1QBECWW\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lucile\Local Settings\Temporary Internet Files\Content.IE5\DKSZRRQC\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\99STQ0AK\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\lphcvt4j0ec4e.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\rqRLdAtq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\phcvt4j0ec4e.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Mathieu\Local Settings\Temp\media.php (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Et voici le 2ème :
    Malwarebytes' Anti-Malware 1.19
    Version de la base de données: 926
    Windows 5.1.2600 Service Pack 2

    19:50:11 06/07/2008
    mbam-log-7-6-2008 (19-50-11).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 131009
    Temps écoulé: 1 hour(s), 17 minute(s), 9 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 2
    Clé(s) du Registre infectée(s): 6
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
    C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Delete on reboot.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
    C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.

    Je vais maintenand faire le log hijackthis et je vous le transmet.

    Merci pour votre aide.

    F-MATH
    0
    1. F-MATH Messages postés 91 Statut Membre
       
      Salut

      j'ai donc installer hijackthis. J'ai ensuite crée un dossier hijackthis dans c ou j'y ai ensuite copier/coller hijackthis.exe que j'ai renommé en eden.exe

      Voici le rapport :

      C:\Logiciels\Firefox\firefox.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\explorer.exe
      C:\HijackThis\eden.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
      O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
      O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
      O2 - BHO: (no name) - {84C53226-C282-41FE-A4B4-8F05CC5EC24B} - C:\WINDOWS\system32\vtUoomMd.dll
      O2 - BHO: (no name) - {FC73EF22-9188-41A7-AEC5-9D42BC1E240D} - C:\WINDOWS\system32\urqNFuvu.dll
      O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
      O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
      O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
      O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
      O4 - HKLM\..\Run: [ClamWin] "C:\Logiciels\ClamWin\bin\ClamTray.exe" --logon
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Logiciels\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
      O4 - HKLM\..\Run: [McAfee Backup] C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
      O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe
      O4 - HKLM\..\Run: [9c368761] rundll32.exe "C:\WINDOWS\system32\orxejpgp.dll",b
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O20 - Winlogon Notify: vtUoomMd - C:\WINDOWS\SYSTEM32\vtUoomMd.dll
      O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe
      O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
      O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
      O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
      O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
      O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
      O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
      O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
      O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
      O23 - Service: NMSAccessU - Unknown owner - C:\Logiciels\CDBurnerXP\NMSAccessU.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok il en reste

    Télécharge Combofix de sUBs : aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

    Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    0
  6. sunmagellan Messages postés 919 Date d'inscription   Statut Membre Dernière intervention   110
     
    tu as essayé smitfraudfix ?
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt les infections sont de type vundo

    ici et smitfraudfix n'agit pas dessus

    O2 - BHO: (no name) - {84C53226-C282-41FE-A4B4-8F05CC5EC24B} - C:\WINDOWS\system32\vtUoomMd.dll
    O2 - BHO: (no name) - {FC73EF22-9188-41A7-AEC5-9D42BC1E240D} - C:\WINDOWS\system32\urqNFuvu.dll
    O4 - HKLM\..\Run: [9c368761] rundll32.exe "C:\WINDOWS\system32\orxejpgp.dll",b
    O20 - Winlogon Notify: vtUoomMd - C:\WINDOWS\SYSTEM32\vtUoomMd.dll
    0
  8. sunmagellan Messages postés 919 Date d'inscription   Statut Membre Dernière intervention   110
     
    ok
    0
  9. F-MATH Messages postés 91 Statut Membre
     
    Salut

    Ok je vais utiliser Combofix.
    Par contre, j'aimerais comprendre un peu ce que je fait parce que je m'aperçoit que niveau lutte contre les trojan et autre, je suis un peux largué.
    MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?
    Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?
    En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?

    Merci

    F-MATH
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?

    OUI C'est Ca et c'est le mieux actuellement

    ______________

    Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?

    oui vundo est très coriace, il faut utiliser des logiciels specialisés, comme malwarebyte's et surtout le top combofi pour cela
    mais d'autres logiciels parfois : pour info:

    http://www.secuser.com/alertes/2005/vundo-virtumonde.htm
    ________________
    En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?

    oui ils font souvent en utiliser plusieurs
    0
  11. F-MATH Messages postés 91 Statut Membre
     
    Salut

    J'ai donc executé combofix.
    Voici le rapport :

    ComboFix 08-07-05.1 - Mathieu 2008-07-08 10:12:24.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.679 [GMT 2:00]
    Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\crspuorb.ini
    C:\WINDOWS\system32\ddcAsspP.dll
    C:\WINDOWS\system32\fkuiqtbo.ini
    C:\WINDOWS\system32\kSvxyJjl.ini
    C:\WINDOWS\system32\kSvxyJjl.ini2
    C:\WINDOWS\system32\ljJyxvSk.dll
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\mlJbayAS.dll
    C:\WINDOWS\system32\mVvxyyxx.ini
    C:\WINDOWS\system32\mVvxyyxx.ini2
    C:\WINDOWS\system32\pgpjexro.ini
    C:\WINDOWS\system32\PpssAcdd.ini
    C:\WINDOWS\system32\PpssAcdd.ini2
    C:\WINDOWS\system32\qqwmhywf.ini
    C:\WINDOWS\system32\qxdxwpjh.ini
    C:\WINDOWS\system32\SAyabJlm.ini
    C:\WINDOWS\system32\SAyabJlm.ini2
    C:\WINDOWS\system32\tiftueuo.ini
    C:\WINDOWS\system32\urqNFuvu.dll
    C:\WINDOWS\system32\uvuFNqru.ini
    C:\WINDOWS\system32\uvuFNqru.ini2
    C:\WINDOWS\system32\vhjnyqea.ini
    C:\WINDOWS\system32\xtcxdfjv.ini
    C:\WINDOWS\system32\xxyyxvVm.dll
    C:\WINDOWS\temp\perflib_perfdata_1cc.dat

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-08 to 2008-07-08 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-07 21:54 . 2008-07-07 21:54 89,088 --a------ C:\WINDOWS\system32\aeqynjhv.dll
    2008-07-07 14:37 . 2008-07-07 14:37 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\McAfee
    2008-07-06 22:01 . 2008-07-06 22:02 <REP> d-------- C:\HijackThis
    2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
    2008-07-06 11:05 . 2008-07-06 11:05 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
    2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-07-06 11:04 . 2008-07-06 11:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-07-05 16:40 . 2008-07-05 16:40 <REP> d-------- C:\Documents and Settings\Jeux\Application Data\McAfee
    2008-07-03 20:47 . 2008-07-03 20:47 <REP> d-------- C:\Documents and Settings\Lucile\Application Data\McAfee
    2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm
    2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm
    2008-07-03 12:37 . 2008-07-03 12:37 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee
    2008-06-30 18:39 . 2008-06-30 18:41 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\rhcrt4j0ec4e
    2008-06-30 18:35 . 2008-06-30 18:35 28,288 --------- C:\WINDOWS\system32\vtUoomMd.dll
    2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm
    2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm
    2008-06-22 10:15 . 2008-06-22 12:36 <REP> d-------- C:\Images CD
    2008-06-22 09:53 . 2008-06-22 09:53 <REP> d-------- C:\Program Files\Alcohol Soft
    2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini
    2008-06-20 22:06 . 2008-06-30 18:34 <REP> d-------- C:\Program Files\uTorrent
    2008-06-20 22:05 . 2008-06-30 18:29 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent
    2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys
    2008-06-15 14:28 . 2008-06-15 14:28 <REP> d-------- C:\Program Files\Fichiers communs\TI Shared
    2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
    2008-06-12 21:16 . 2008-06-12 21:16 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
    2008-06-09 14:37 . 2008-06-09 14:37 <REP> d--h----- C:\WINDOWS\PIF
    2008-06-08 17:26 . 2008-06-08 17:26 268 --ah----- C:\sqmdata02.sqm
    2008-06-08 17:26 . 2008-06-08 17:26 244 --ah----- C:\sqmnoopt02.sqm
    2008-06-08 11:52 . 2008-06-08 11:52 45 --a------ C:\WINDOWS\system32\initdebug.nfo

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-06 19:05 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2
    2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee
    2008-06-15 11:35 --------- d-----w C:\Program Files\Google
    2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2
    2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc
    2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab
    2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab
    2008-06-01 13:40 --------- d-----w C:\Program Files\Java
    2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java
    2008-06-01 07:41 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
    2008-06-01 07:41 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
    2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL
    2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor
    2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc
    2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft
    2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer
    2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft
    2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss
    2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
    2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    2008-04-30 19:37 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
    2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
    2008-04-18 17:34 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
    2008-04-18 17:34 2,272 ----a-w C:\WINDOWS\system32\w95inf16.dll
    2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP
    2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP
    2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP
    2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP
    1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
    2008-06-30 18:35 28288 --------- C:\WINDOWS\system32\vtUoomMd.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 21:22 589824]
    "mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
    "SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
    "McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576]
    "ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824]
    "Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
    "iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
    "EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
    "McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
    "MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]
    "9c368761"="C:\WINDOWS\system32\aeqynjhv.dll" [2008-07-07 21:54 89088]
    "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"= "C:\WINDOWS\system32\vtUoomMd.dll" [2008-06-30 18:35 28288]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUoomMd]
    2008-06-30 18:35 28288 C:\WINDOWS\system32\vtUoomMd.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Logiciels\\iTunes\\iTunes.exe"=
    "C:\\Jeux\\ArmA Demo\\ArmADemo.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=

    R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23]
    R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job"
    - c:\PROGRA~1\mcafee\mqc\QcConsol.exe'
    "2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job"
    - c:\PROGRA~1\mcafee\mqc\QcConsol.exe
    .
    - - - - ORPHANS REMOVED - - - -

    HKLM-Run-Cmaudio - cmicnfg.cpl

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-08 10:22:04
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\vtUoomMd.dll

    PROCESS: C:\WINDOWS\explorer.exe
    -> C:\Program Files\SiteAdvisor\6261\saHook.dll
    -> C:\WINDOWS\system32\aeqynjhv.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\McAfee\MBK\MBackMonitor.exe
    C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
    C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe
    C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe
    C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe
    C:\Program Files\McAfee\MPF\MpfSrv.exe
    C:\Program Files\McAfee\MSK\msksrver.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\SiteAdvisor\6261\SAService.exe
    C:\WINDOWS\system32\snmp.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
    C:\WINDOWS\system32\verclsid.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-08 10:29:01 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-08 08:28:55

    Pre-Run: 56,310,734,848 octets libres
    Post-Run: 56,817,934,336 octets libres

    208 --- E O F --- 2008-06-20 13:35:45

    Merci

    F-MATH
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    C:\WINDOWS\system32\aeqynjhv.dll
    C:\WINDOWS\system32\vtUoomMd.dll

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "9c368761"=-
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUoomMd]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Remets aussi un rapport Hijackthis et dis tes soucis

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  13. F-MATH Messages postés 91 Statut Membre
     
    Salut

    Ok je vais faire ça. Mais ça correspond a quoi en fait ?

    Merci

    F-MATH
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    c'est pour virer les 2 fichiers inféctés vundo de ton ordi et quelques clés du registre
    0
  15. F-MATH Messages postés 91 Statut Membre
     
    Salut

    J'ai donc fait la manipulation que tu m'a dit avec le glisser/déposé.
    Voici le log combofix :
    ComboFix 08-07-05.1 - Mathieu 2008-07-09 17:14:45.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.532 [GMT 2:00]
    Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe
    Command switches used :: C:\Documents and Settings\Mathieu\Bureau\CFscript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\WINDOWS\system32\aeqynjhv.dll
    C:\WINDOWS\system32\vtUoomMd.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\amwshcfq.ini
    C:\WINDOWS\system32\dngaunjx.ini
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\pmnnLCvW.dll
    C:\WINDOWS\system32\vtUoomMd.dll
    C:\WINDOWS\system32\WvCLnnmp.ini
    C:\WINDOWS\system32\WvCLnnmp.ini2

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-09 17:22 . 2008-07-09 17:22 <REP> d-------- C:\WINDOWS\LastGood
    2008-07-09 15:27 . 2008-07-09 15:27 89,088 --a------ C:\WINDOWS\system32\qfchswma.dll
    2008-07-08 10:29 . 2008-07-08 10:29 <REP> d-------- C:\Documents and Settings\François
    2008-07-08 10:29 . <REP> C:\Documents and Settings\Franþois\Local Settings
    2008-07-08 10:29 . <REP> C:\Documents and Settings\Franþois\Local Settings
    2008-07-08 10:29 . 2008-07-08 10:29 294 ---hs---- C:\WINDOWS\system32\vhjnyqea.ini
    2008-07-07 14:37 . 2008-07-07 14:37 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\McAfee
    2008-07-06 22:01 . 2008-07-06 22:02 <REP> d-------- C:\HijackThis
    2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
    2008-07-06 11:05 . 2008-07-06 11:05 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
    2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-07-06 11:04 . 2008-07-06 11:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-07-05 16:40 . 2008-07-05 16:40 <REP> d-------- C:\Documents and Settings\Jeux\Application Data\McAfee
    2008-07-03 20:47 . 2008-07-03 20:47 <REP> d-------- C:\Documents and Settings\Lucile\Application Data\McAfee
    2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm
    2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm
    2008-07-03 12:37 . 2008-07-03 12:37 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee
    2008-06-30 18:39 . 2008-06-30 18:41 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\rhcrt4j0ec4e
    2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm
    2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm
    2008-06-22 10:15 . 2008-06-22 12:36 <REP> d-------- C:\Images CD
    2008-06-22 09:53 . 2008-06-22 09:53 <REP> d-------- C:\Program Files\Alcohol Soft
    2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini
    2008-06-20 22:06 . 2008-06-30 18:34 <REP> d-------- C:\Program Files\uTorrent
    2008-06-20 22:05 . 2008-06-30 18:29 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent
    2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys
    2008-06-15 14:28 . 2008-06-15 14:28 <REP> d-------- C:\Program Files\Fichiers communs\TI Shared
    2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
    2008-06-12 21:16 . 2008-06-12 21:16 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
    2008-06-09 14:37 . 2008-06-09 14:37 <REP> d--h----- C:\WINDOWS\PIF

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-08 09:16 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2
    2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee
    2008-06-15 11:35 --------- d-----w C:\Program Files\Google
    2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2
    2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc
    2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab
    2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab
    2008-06-01 13:40 --------- d-----w C:\Program Files\Java
    2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java
    2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL
    2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor
    2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc
    2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft
    2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer
    2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft
    2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss
    2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP
    2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP
    2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP
    2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP
    1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-08_10.28.28.14 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-08 08:20:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-07-09 15:20:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    - 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-07-09 15:20:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_fc.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 21:22 589824]
    "mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
    "SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
    "McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576]
    "ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824]
    "Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
    "iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
    "EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
    "McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
    "MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]
    "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Logiciels\\iTunes\\iTunes.exe"=
    "C:\\Jeux\\ArmA Demo\\ArmADemo.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=

    R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23]
    R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job"
    - c:\PROGRA~1\mcafee\mqc\QcConsol.exe'
    "2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job"
    - c:\PROGRA~1\mcafee\mqc\QcConsol.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-09 17:27:23
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\McAfee\MBK\MBackMonitor.exe
    C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
    C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe
    C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe
    C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe
    C:\Program Files\McAfee\MPF\MpfSrv.exe
    C:\Program Files\McAfee\MSK\msksrver.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\SiteAdvisor\6261\SAService.exe
    C:\WINDOWS\system32\snmp.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-09 17:33:03 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-09 15:32:59
    ComboFix2.txt 2008-07-08 08:29:03

    Pre-Run: 56,829,935,616 octets libres
    Post-Run: 56,808,579,072 octets libres

    181 --- E O F --- 2008-06-20 13:35:45

    J'ai refait un coup de Hijackthis et voici le log :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:01:58, on 09/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\McAfee\MBK\MBackMonitor.exe
    C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
    c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
    c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
    C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
    C:\Program Files\McAfee\MPF\MPFSrv.exe
    C:\Program Files\McAfee\MSK\MskSrver.exe
    C:\Logiciels\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\SiteAdvisor\6261\SAService.exe
    C:\WINDOWS\System32\snmp.exe
    c:\PROGRA~1\mcafee.com\agent\mcagent.exe
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\Program Files\SiteAdvisor\6261\SiteAdv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Logiciels\ClamWin\bin\ClamTray.exe
    C:\Logiciels\iTunes\iTunesHelper.exe
    C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
    C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\iPod\bin\iPodService.exe
    c:\PROGRA~1\mcafee\msc\mcuimgr.exe
    C:\WINDOWS\explorer.exe
    C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
    C:\Logiciels\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
    O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
    O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
    O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
    O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
    O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
    O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
    O4 - HKLM\..\Run: [ClamWin] "C:\Logiciels\ClamWin\bin\ClamTray.exe" --logon
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Logiciels\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
    O4 - HKLM\..\Run: [McAfee Backup] C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
    O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe
    O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
    O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
    O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
    O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
    O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
    O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
    O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
    O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
    O23 - Service: NMSAccessU - Unknown owner - C:\Logiciels\CDBurnerXP\NMSAccessU.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok tu peux remettre firefox par defaut si tu veux via les option de firefox puis general

    _______________

    analyse ce fichier sur virus total et colle le rapport: https://www.virustotal.com/gui/

    C:\WINDOWS\system32\qfchswma.dll
    0
  17. F-MATH Messages postés 91 Statut Membre
     
    Salut

    Voici le résultat

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.7.10.0 2008.07.09 -
    AntiVir 7.8.0.64 2008.07.09 -
    Authentium 5.1.0.4 2008.07.08 -
    Avast 4.8.1195.0 2008.07.09 -
    AVG 7.5.0.516 2008.07.09 -
    BitDefender 7.2 2008.07.09 -
    CAT-QuickHeal 9.50 2008.07.09 -
    ClamAV 0.93.1 2008.07.09 -
    DrWeb 4.44.0.09170 2008.07.09 Trojan.Virtumod.based.18
    eSafe 7.0.17.0 2008.07.08 Suspicious File
    eTrust-Vet 31.6.5940 2008.07.09 -
    Ewido 4.0 2008.07.09 -
    F-Prot 4.4.4.56 2008.07.08 -
    F-Secure 7.60.13501.0 2008.07.08 -
    Fortinet 3.14.0.0 2008.07.09 -
    GData 2.0.7306.1023 2008.07.09 -
    Ikarus T3.1.1.26.0 2008.07.09 Trojan.Win32.Monderb
    Kaspersky 7.0.0.125 2008.07.09 -
    McAfee 5335 2008.07.09 -
    Microsoft 1.3704 2008.07.09 Trojan:Win32/Vundo.gen!E
    NOD32v2 3255 2008.07.09 -
    Norman 5.80.02 2008.07.09 -
    Panda 9.0.0.4 2008.07.09 Suspicious file
    Prevx1 V2 2008.07.09 Fraudulent Security Program
    Rising 20.52.22.00 2008.07.09 -
    Sophos 4.31.0 2008.07.09 -
    Sunbelt 3.1.1509.1 2008.07.04 -
    Symantec 10 2008.07.09 -
    TheHacker 6.2.96.374 2008.07.07 -
    TrendMicro 8.700.0.1004 2008.07.09 -
    VBA32 3.12.6.8 2008.07.08 -
    VirusBuster 4.5.11.0 2008.07.09 -
    Webwasher-Gateway 6.6.2 2008.07.09 Win32.Malware.gen (suspicious)
    Information additionnelle
    File size: 89088 bytes
    MD5...: 254daea47110b81436254dac4d6ae36d
    SHA1..: 1714c8c0df5cbcae3264e462d5fe2b40c6610d2e
    SHA256: 703e17edb8a7533a29c22a97af7db2aa1713654ddbe389498e500fa89faed20d
    SHA512: 02904b4ab9b43da42186d8500ac04485bf89d5a9d3f05c514a0b9c0dd5b6d603
    6c41598502ac07c4c757aade2a5cf7aecec00c532f23d0ba12ec8f9e306f7784
    PEiD..: Armadillo v1.xx - v2.xx
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x100014a1
    timedatestamp.....: 0x486b4ed7 (Wed Jul 02 09:48:07 2008)
    machinetype.......: 0x14c (I386)

    ( 6 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x2000 0x2000 5.33 5adf11330d480bf21b1a47b717719524
    .rdata 0x3000 0x1000 0x600 3.81 0d779f40936ded1dc0fb2d3e40c0cb49
    CODE 0x4000 0x1000 0x800 7.91 63f256b8b79d17d26420815f9ad1e715
    CODE 0x5000 0x1000 0x400 7.81 c366b95c508010d1c4a8a1ea1bf3d0bd
    .data 0x6000 0x2000 0x1400 7.96 4d6c89074197e2fa1b3cf1bf686ca3fc
    .data 0x8000 0x1e000 0xf800 7.99 ec7a210b202c87e8ce32eaf5512baa2a

    ( 1 imports )
    > user32.dll: BeginPaint, EndPaint, GetDesktopWindow, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA

    ( 0 exports )
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4609779400B8B1205C4701FF0182650

    L'adresse : http://www.virustotal.com/fr/analisis/b9ad8829ee90ea698505c52cbe155960

    Alors ca donne quoi ?

    Merci

    F-MATH
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    on vire

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\WINDOWS\system32\qfchswma.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ____________________

    vire ce qui est dans moved files en allant dans poste detravail puis C puis otmovit

    _____________________

    installe spywareblaster: pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html

    ____________________

    tu peux garder malwarebyte's antimalware en complément de ton antivirus

    ________________

    pour virer le reste que je t'ai fais utiliser lance tools cleaner:

    http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

    bonne suite
    0
  19. F-MATH Messages postés 91 Statut Membre
     
    Salut

    J'ai supprimer la dll avec OTMoveIt comme tu me l'a dit.
    J'ai ensuite installer spywareblaster et j'ai immunisé le système.
    J'ai ensuite utilisé tools cleaner pour supprimer les outils de désinfection. J'ai aussi viré combofix, OTMveIt et tools cleaner.
    Donc maintenant, c'est bon le système est clean ?
    Je vais effectivement garder malwarebyte's antimalware et je vais l'installer sur mes 2 autres ordis pour faire un contrôle.
    Je les j'emmurerais aussi avec spywareblaster.

    Merci

    F-MATH
    0
  • 1
  • 2