Virus : désinfecter et réparer les dégatsRésolu/Fermé

Question

Bonjour,

J'ai été infecté par un virus que j'ai partiellement supprimé, mais pas complètement, et je n'arrive pas à réparer les dégâts qu'il m'a causé.

Quand ce virus m'a infecté, il m'a installer un logiciel appelé "Antivirus XP pro", il m'a changé mon fond d'écran en le remplaçant par un font d'écran bleu avec marqué dessus un message m'informant que j'étais infecté et que il me fallait un antivirus. De plus, il m'a viré les onglets permettant de changer le font d'écran et l'écran de veille dans les propriétés du bureau. Et il m'a désactivé Windows Update.
Mon antivirus McAfee l'a détecté et l'a supprimé.
J'ai ensuite lancé le PC en mode sans échec. J'ai lancé une analyse McAfee qui n'a rien trouvé.
J'ai lancé une analyse avec mon deuxième antivirus : clamwin.
Il m'a trouvé 3 fichiers infecté, mais il ne me propose pas de les supprimer.
Voici le rapport de clamwin :
Scan Started Wed Jul 02 07:54:21 2008

-------------------------------------------------------------------------------





C:\Documents and Settings\Mathieu\Local Settings\Temp\media.php: Trojan.Dropper-4103 FOUND

C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\GMJX2LR6\WebSoftCodecDrivern[1].exe: Trojan.Dropper-4103 FOUND

C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\XPQWAY4W\WebSoftCodecDrivern[1].exe: Trojan.Dropper-4103 FOUND

----------- SCAN SUMMARY -----------

Known viruses: 329008

Engine version: 0.93

Scanned directories: 8971

Scanned files: 85307

Infected files: 3



Data scanned: 21003.24 MB

Time: 12119.313 sec (201 m 59 s)

--------------------------------------

Completed

-------------------------------------

Malheureusement, j'arrive bien à trouver le premier fichier, mais pas les 2 autres. Donc je peux pas les supprimer manuellement.
J'ai donc cherché sur www.secuser.com ce qu'est "Trojan.Dropper" et il m'a donné cette réponse : http://www.secuser.com/alertes/2008/restarterf.htm
J'ai donc télécharger le petit logiciel MSNfix, qui m'a trouver une infection et a supprimer des fichiers. Mais ceux qu'il a supprimer ne correspondent pas aux fichiers détecter par clamwin. Je ne sais pas a quoi correspondent les fichier qu'il a supprimé.

Voici le rapport de MSNFix :
MSNFix 1.732  
 
C:\Documents and Settings\Mathieu\Bureau\MSNFix 
Fix exécuté le 03/07/2008 - 11:03:04,06 By Mathieu 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\DOCUME~1\Mathieu\LOCALS~1\Temp\removalfile.bat 
... C:\DOCUME~1\Mathieu\LOCALS~1\Temp\removalfile.bat 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\Mathieu\LOCALS~1\Temp\removalfile.bat  
.. OK ... C:\DOCUME~1\Mathieu\LOCALS~1\Temp\removalfile.bat  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 03072008_11095626.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe, 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   --------------------------------------------- 

Pourtant, je suis sur qu'il me reste quelque chose : je reçois de façon régulière des fenêtres de pub.
Comment faire pour supprimer ce qu'il reste, mes 2 antivirus sont a bout ?

Concernant les dégâts du virus, j'ai pus réactiver les onglets pour changer l'écran de veille et fond d'écran, mais par contre, il m'a aussi mit hors-servie windows update et l'utilitaire de suppression des logiciels malveillant de windows.
Comment réparer ces 2 modules de windows ?
Pour windows update, il me met le message suivant :
Le site ne peut pas continuer, car un ou plusieurs des services Windows suivants ne sont pas exécutés :

Mises à jour automatiques (permet au site de rechercher, de télécharger et d'installer les mises à jour prioritaires destinées à votre ordinateur) 
Service de transfert intelligent en arrière-plan (BITS) (accélère le téléchargement et résout les problèmes liés aux éventuelles interruptions du processus) 
Journal des événements (conserve l'historique des opérations de mise à jour pour faciliter la résolution des problèmes le cas échéant) 
Pour vérifier que ces services sont exécutés :
1. Cliquez sur Démarrer, puis sur Exécuter.
2. Entrez services.msc, puis cliquez sur OK.
3. Dans la liste de services, double-cliquez sur Mises à jour automatiques, puis cliquez sur Propriétés.
4. Dans la liste Type de démarrage, sélectionnez Automatique et cliquez sur Appliquer.
5. Vérifiez que l'état associé au service est Démarré. Si le service est arrêté, cliquez sur le bouton Démarrer.
6. Dans la liste de services, double-cliquez sur Service de transfert intelligent en arrière-plan et cliquez sur Propriétés.
7. Dans la liste Type de démarrage, sélectionnez Manuel et cliquez sur Appliquer.
8. Vérifiez que l'état associé au service est Démarré. Si le service est arrêté, cliquez sur le bouton Démarrer.
9. Dans la liste de services, double-cliquez sur Journal des événements et cliquez sur Propriétés.
10. Dans la liste Type de démarrage, sélectionnez Automatique et cliquez sur Appliquer.
11. Vérifiez que l'état du service est Démarré. Si le service est arrêté, cliquez sur le bouton Démarrer.
Si le problème persiste, vous serez peut-être amené à demander de l'aide à l'une des ressources suivantes.

Seulement, impossible de remettre en service le module "Mises à jour automatiques", il y a une erreur.

Pourriez-vous m'aider ?

Merci

F-MATH

jlpjlp · Answer

slt,


scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

______________

colle un rapport hijackthis

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html


Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

sunmagellan · Answer

http://siri.urz.free.fr/Fix/SmitfraudFix.php

jlpjlp · Answer

pour reparer windows

https://www.pcastuces.com/pratique/windows/xp/default.htm


ou ici
http://www.informatruc.com/reparer-windows-xp/

F-MATH · Answer

Salut

Alors j'ai téléchargé et installé MalwareByte's Anti-Malware.
J'ai lancé un premier scann sous windows en mode sans échec. Il m'a trouvé 20 infections (donc plusieurs par Vundo). Je lui est donc fait supprimer ce qu'il a trouvé et il m'a demandé de redémarer windows pour finir la désinfection. J'ai donc redémarré l'ordinateur a nouveau en mode sans échec et j'ai refait un scann. Il m'a trouvé 15 infections. Donc visiblement, le coup d'avant il a pas tous traité !! A la fin du 2ème scann, je lui demande de supprimer ce qu'il a trouvé et il me demande a nouveau de redémarrer l'ordinateur. Je le redémarre a nouveau, mais en mode normal cette foi. Je vais sur internet et j'ai a nouveau des fenêtres de pub. Il reste donc des trucs que MalwareByte's Anti-Malware n'a toujours pas supprimé.

Voici le premier rapport de MalwareByte's Anti-Malware
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 926
Windows 5.1.2600 Service Pack 2

14:04:12 06/07/2008
mbam-log-7-6-2008 (14-04-12).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 130871
Temps écoulé: 1 hour(s), 17 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9c368761 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu  -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\etdsbiqr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqibsdte.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\Jeux\Local Settings\Temporary Internet Files\Content.IE5\L1QBECWW\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Lucile\Local Settings\Temporary Internet Files\Content.IE5\DKSZRRQC\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\99STQ0AK\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcvt4j0ec4e.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRLdAtq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcvt4j0ec4e.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\media.php (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Et voici le 2ème :
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 926
Windows 5.1.2600 Service Pack 2

19:50:11 06/07/2008
mbam-log-7-6-2008 (19-50-11).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 131009
Temps écoulé: 1 hour(s), 17 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu  -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.

Je vais maintenand faire le log hijackthis et je vous le transmet.

Merci pour votre aide.

F-MATH

jlpjlp · Answer

ok il en reste

Télécharge Combofix de sUBs :  aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Sauvegarde le sur ton bureau et pas ailleurs ! 

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic 

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider. 
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

sunmagellan · Answer

tu as essayé smitfraudfix ?

jlpjlp · Answer

slt les infections sont de type vundo

ici et smitfraudfix n'agit pas dessus

O2 - BHO: (no name) - {84C53226-C282-41FE-A4B4-8F05CC5EC24B} - C:\WINDOWS\system32\vtUoomMd.dll
O2 - BHO: (no name) - {FC73EF22-9188-41A7-AEC5-9D42BC1E240D} - C:\WINDOWS\system32\urqNFuvu.dll
O4 - HKLM\..\Run: [9c368761] rundll32.exe "C:\WINDOWS\system32\orxejpgp.dll",b
O20 - Winlogon Notify: vtUoomMd - C:\WINDOWS\SYSTEM32\vtUoomMd.dll

sunmagellan · Answer

ok

F-MATH · Answer

Salut

Ok je vais utiliser Combofix.
Par contre, j'aimerais comprendre un peu ce que je fait parce que je m'aperçoit que niveau lutte contre les trojan et autre, je suis un peux largué.
MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?
Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?
En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?

Merci

F-MATH

jlpjlp · Answer

MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?

OUI C'est Ca et c'est le mieux actuellement

______________

Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?

oui vundo est très coriace, il faut utiliser des logiciels specialisés, comme malwarebyte's et surtout le top combofi pour cela
mais d'autres logiciels parfois  : pour info:

http://www.secuser.com/alertes/2005/vundo-virtumonde.htm
________________
En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?

oui ils font souvent en utiliser plusieurs

F-MATH · Answer

Salut J'ai donc executé combofix. Voici le rapport : ComboFix 08-07-05.1 - Mathieu 2008-07-08 10:12:24.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.679 [GMT 2:00] Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\crspuorb.ini C:\WINDOWS\system32\ddcAsspP.dll C:\WINDOWS\system32\fkuiqtbo.ini C:\WINDOWS\system32\kSvxyJjl.ini C:\WINDOWS\system32\kSvxyJjl.ini2 C:\WINDOWS\system32\ljJyxvSk.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mlJbayAS.dll C:\WINDOWS\system32\mVvxyyxx.ini C:\WINDOWS\system32\mVvxyyxx.ini2 C:\WINDOWS\system32\pgpjexro.ini C:\WINDOWS\system32\PpssAcdd.ini C:\WINDOWS\system32\PpssAcdd.ini2 C:\WINDOWS\system32\qqwmhywf.ini C:\WINDOWS\system32\qxdxwpjh.ini C:\WINDOWS\system32\SAyabJlm.ini C:\WINDOWS\system32\SAyabJlm.ini2 C:\WINDOWS\system32 iftueuo.ini C:\WINDOWS\system32\urqNFuvu.dll C:\WINDOWS\system32\uvuFNqru.ini C:\WINDOWS\system32\uvuFNqru.ini2 C:\WINDOWS\system32\vhjnyqea.ini C:\WINDOWS\system32\xtcxdfjv.ini C:\WINDOWS\system32\xxyyxvVm.dll C:\WINDOWS emp\perflib_perfdata_1cc.dat . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-08 to 2008-07-08 )))))))))))))))))))))))))))))))))))) . 2008-07-07 21:54 . 2008-07-07 21:54 89,088 --a------ C:\WINDOWS\system32\aeqynjhv.dll 2008-07-07 14:37 . 2008-07-07 14:37 d-------- C:\Documents and Settings\LocalService\Application Data\McAfee 2008-07-06 22:01 . 2008-07-06 22:02 d-------- C:\HijackThis 2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-07-06 11:05 . 2008-07-06 11:05 d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes 2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-06 11:04 . 2008-07-06 11:04 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-05 16:40 . 2008-07-05 16:40 d-------- C:\Documents and Settings\Jeux\Application Data\McAfee 2008-07-03 20:47 . 2008-07-03 20:47 d-------- C:\Documents and Settings\Lucile\Application Data\McAfee 2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm 2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm 2008-07-03 12:37 . 2008-07-03 12:37 d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee 2008-06-30 18:39 . 2008-06-30 18:41 d-------- C:\Documents and Settings\Mathieu\Application Data hcrt4j0ec4e 2008-06-30 18:35 . 2008-06-30 18:35 28,288 --------- C:\WINDOWS\system32\vtUoomMd.dll 2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm 2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm 2008-06-22 10:15 . 2008-06-22 12:36 d-------- C:\Images CD 2008-06-22 09:53 . 2008-06-22 09:53 d-------- C:\Program Files\Alcohol Soft 2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini 2008-06-20 22:06 . 2008-06-30 18:34 d-------- C:\Program Files\uTorrent 2008-06-20 22:05 . 2008-06-30 18:29 d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent 2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys 2008-06-15 14:28 . 2008-06-15 14:28 d-------- C:\Program Files\Fichiers communs\TI Shared 2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-12 21:16 . 2008-06-12 21:16 d-------- C:\Documents and Settings\Marion\Application Data\DivX 2008-06-09 14:37 . 2008-06-09 14:37 d--h----- C:\WINDOWS\PIF 2008-06-08 17:26 . 2008-06-08 17:26 268 --ah----- C:\sqmdata02.sqm 2008-06-08 17:26 . 2008-06-08 17:26 244 --ah----- C:\sqmnoopt02.sqm 2008-06-08 11:52 . 2008-06-08 11:52 45 --a------ C:\WINDOWS\system32\initdebug.nfo . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-06 19:05 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2 2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee 2008-06-15 11:35 --------- d-----w C:\Program Files\Google 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2 2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc 2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab 2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab 2008-06-01 13:40 --------- d-----w C:\Program Files\Java 2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-06-01 07:41 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll 2008-06-01 07:41 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll 2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL 2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor 2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc 2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft 2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer 2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft 2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers mcast.sys 2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-30 19:37 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-04-18 17:34 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll 2008-04-18 17:34 2,272 ----a-w C:\WINDOWS\system32\w95inf16.dll 2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP 2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP 2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP 2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP 1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}] 2008-06-30 18:35 28288 --------- C:\WINDOWS\system32\vtUoomMd.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RaidTool"="C:\Program Files\VIA\RAID aid_tool.exe" [2005-04-26 21:22 589824] "mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992] "SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640] "McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576] "ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824] "Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] "EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784] "McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952] "MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480] "9c368761"="C:\WINDOWS\system32\aeqynjhv.dll" [2008-07-07 21:54 89088] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"= "C:\WINDOWS\system32\vtUoomMd.dll" [2008-06-30 18:35 28288] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\vtUoomMd] 2008-06-30 18:35 28288 C:\WINDOWS\system32\vtUoomMd.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\Logiciels\iTunes\iTunes.exe"= "C:\Jeux\ArmA Demo\ArmADemo.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23] R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job" - c:\PROGRA~1\mcafee\mqc\QcConsol.exe' "2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job" - c:\PROGRA~1\mcafee\mqc\QcConsol.exe . - - - - ORPHANS REMOVED - - - - HKLM-Run-Cmaudio - cmicnfg.cpl ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-08 10:22:04 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\vtUoomMd.dll PROCESS: C:\WINDOWS\explorer.exe -> C:\Program Files\SiteAdvisor\6261\saHook.dll -> C:\WINDOWS\system32\aeqynjhv.dll . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\McAfee\MBK\MBackMonitor.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe C:\Program Files\McAfee\MPF\MpfSrv.exe C:\Program Files\McAfee\MSK\msksrver.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\SiteAdvisor\6261\SAService.exe C:\WINDOWS\system32\snmp.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32 undll32.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\iPod\bin\iPodService.exe C:\PROGRA~1\McAfee\MSC\mcuimgr.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Temps d'accomplissement: 2008-07-08 10:29:01 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-08 08:28:55 Pre-Run: 56,310,734,848 octets libres Post-Run: 56,817,934,336 octets libres 208 --- E O F --- 2008-06-20 13:35:45 Merci F-MATH

jlpjlp · Answer

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::
C:\WINDOWS\system32\aeqynjhv.dll
C:\WINDOWS\system32\vtUoomMd.dll





Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"9c368761"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\vtUoomMd]




Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis et dis tes soucis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

F-MATH · Answer

Salut

Ok je vais faire ça. Mais ça correspond a quoi en fait ?

Merci

F-MATH

jlpjlp · Answer

c'est pour virer les 2 fichiers inféctés vundo de ton ordi et quelques clés du registre

F-MATH · Answer

Salut J'ai donc fait la manipulation que tu m'a dit avec le glisser/déposé. Voici le log combofix : ComboFix 08-07-05.1 - Mathieu 2008-07-09 17:14:45.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.532 [GMT 2:00] Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe Command switches used :: C:\Documents and Settings\Mathieu\Bureau\CFscript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\system32\aeqynjhv.dll C:\WINDOWS\system32\vtUoomMd.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\amwshcfq.ini C:\WINDOWS\system32\dngaunjx.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\pmnnLCvW.dll C:\WINDOWS\system32\vtUoomMd.dll C:\WINDOWS\system32\WvCLnnmp.ini C:\WINDOWS\system32\WvCLnnmp.ini2 . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-09 to 2008-07-09 )))))))))))))))))))))))))))))))))))) . 2008-07-09 17:22 . 2008-07-09 17:22 d-------- C:\WINDOWS\LastGood 2008-07-09 15:27 . 2008-07-09 15:27 89,088 --a------ C:\WINDOWS\system32\qfchswma.dll 2008-07-08 10:29 . 2008-07-08 10:29 d-------- C:\Documents and Settings\François 2008-07-08 10:29 . C:\Documents and Settings\Franþois\Local Settings 2008-07-08 10:29 . C:\Documents and Settings\Franþois\Local Settings 2008-07-08 10:29 . 2008-07-08 10:29 294 ---hs---- C:\WINDOWS\system32\vhjnyqea.ini 2008-07-07 14:37 . 2008-07-07 14:37 d-------- C:\Documents and Settings\LocalService\Application Data\McAfee 2008-07-06 22:01 . 2008-07-06 22:02 d-------- C:\HijackThis 2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-07-06 11:05 . 2008-07-06 11:05 d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes 2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-06 11:04 . 2008-07-06 11:04 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-05 16:40 . 2008-07-05 16:40 d-------- C:\Documents and Settings\Jeux\Application Data\McAfee 2008-07-03 20:47 . 2008-07-03 20:47 d-------- C:\Documents and Settings\Lucile\Application Data\McAfee 2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm 2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm 2008-07-03 12:37 . 2008-07-03 12:37 d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee 2008-06-30 18:39 . 2008-06-30 18:41 d-------- C:\Documents and Settings\Mathieu\Application Data hcrt4j0ec4e 2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm 2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm 2008-06-22 10:15 . 2008-06-22 12:36 d-------- C:\Images CD 2008-06-22 09:53 . 2008-06-22 09:53 d-------- C:\Program Files\Alcohol Soft 2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini 2008-06-20 22:06 . 2008-06-30 18:34 d-------- C:\Program Files\uTorrent 2008-06-20 22:05 . 2008-06-30 18:29 d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent 2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys 2008-06-15 14:28 . 2008-06-15 14:28 d-------- C:\Program Files\Fichiers communs\TI Shared 2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-12 21:16 . 2008-06-12 21:16 d-------- C:\Documents and Settings\Marion\Application Data\DivX 2008-06-09 14:37 . 2008-06-09 14:37 d--h----- C:\WINDOWS\PIF . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-08 09:16 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2 2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee 2008-06-15 11:35 --------- d-----w C:\Program Files\Google 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2 2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc 2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab 2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab 2008-06-01 13:40 --------- d-----w C:\Program Files\Java 2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL 2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor 2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc 2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft 2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer 2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft 2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss 2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP 2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP 2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP 2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP 1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll . ((((((((((((((((((((((((((((( snapshot@2008-07-08_10.28.28.14 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-08 08:20:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-07-09 15:20:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-07-09 15:20:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_fc.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RaidTool"="C:\Program Files\VIA\RAID aid_tool.exe" [2005-04-26 21:22 589824] "mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992] "SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640] "McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576] "ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824] "Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] "EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784] "McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952] "MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\Logiciels\iTunes\iTunes.exe"= "C:\Jeux\ArmA Demo\ArmADemo.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23] R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job" - c:\PROGRA~1\mcafee\mqc\QcConsol.exe' "2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job" - c:\PROGRA~1\mcafee\mqc\QcConsol.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-09 17:27:23 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\McAfee\MBK\MBackMonitor.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe C:\Program Files\McAfee\MPF\MpfSrv.exe C:\Program Files\McAfee\MSK\msksrver.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\SiteAdvisor\6261\SAService.exe C:\WINDOWS\system32\snmp.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\iPod\bin\iPodService.exe C:\PROGRA~1\McAfee\MSC\mcuimgr.exe . ************************************************************************** . Temps d'accomplissement: 2008-07-09 17:33:03 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-09 15:32:59 ComboFix2.txt 2008-07-08 08:29:03 Pre-Run: 56,829,935,616 octets libres Post-Run: 56,808,579,072 octets libres 181 --- E O F --- 2008-06-20 13:35:45 J'ai refait un coup de Hijackthis et voici le log : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:01:58, on 09/07/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\McAfee\MBK\MBackMonitor.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\Program Files\McAfee\MPF\MPFSrv.exe C:\Program Files\McAfee\MSK\MskSrver.exe C:\Logiciels\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\SiteAdvisor\6261\SAService.exe C:\WINDOWS\System32\snmp.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\Program Files\VIA\RAID aid_tool.exe C:\Program Files\SiteAdvisor\6261\SiteAdv.exe C:\WINDOWS\system32\wuauclt.exe C:\Logiciels\ClamWin\bin\ClamTray.exe C:\Logiciels\iTunes\iTunesHelper.exe C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\iPod\bin\iPodService.exe c:\PROGRA~1\mcafee\msc\mcuimgr.exe C:\WINDOWS\explorer.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\Logiciels\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID aid_tool.exe O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide O4 - HKLM\..\Run: [ClamWin] "C:\Logiciels\ClamWin\bin\ClamTray.exe" --logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Logiciels\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [McAfee Backup] C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe O23 - Service: NMSAccessU - Unknown owner - C:\Logiciels\CDBurnerXP\NMSAccessU.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe

jlpjlp · Answer

ok tu peux remettre firefox par defaut si tu veux via les option de firefox puis general

_______________


analyse ce fichier sur virus total et colle le rapport:  https://www.virustotal.com/gui/

C:\WINDOWS\system32\qfchswma.dll

F-MATH · Answer

Salut

Voici le résultat

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.7.10.0	2008.07.09	-
AntiVir	7.8.0.64	2008.07.09	-
Authentium	5.1.0.4	2008.07.08	-
Avast	4.8.1195.0	2008.07.09	-
AVG	7.5.0.516	2008.07.09	-
BitDefender	7.2	2008.07.09	-
CAT-QuickHeal	9.50	2008.07.09	-
ClamAV	0.93.1	2008.07.09	-
DrWeb	4.44.0.09170	2008.07.09	Trojan.Virtumod.based.18
eSafe	7.0.17.0	2008.07.08	Suspicious File
eTrust-Vet	31.6.5940	2008.07.09	-
Ewido	4.0	2008.07.09	-
F-Prot	4.4.4.56	2008.07.08	-
F-Secure	7.60.13501.0	2008.07.08	-
Fortinet	3.14.0.0	2008.07.09	-
GData	2.0.7306.1023	2008.07.09	-
Ikarus	T3.1.1.26.0	2008.07.09	Trojan.Win32.Monderb
Kaspersky	7.0.0.125	2008.07.09	-
McAfee	5335	2008.07.09	-
Microsoft	1.3704	2008.07.09	Trojan:Win32/Vundo.gen!E
NOD32v2	3255	2008.07.09	-
Norman	5.80.02	2008.07.09	-
Panda	9.0.0.4	2008.07.09	Suspicious file
Prevx1	V2	2008.07.09	Fraudulent Security Program
Rising	20.52.22.00	2008.07.09	-
Sophos	4.31.0	2008.07.09	-
Sunbelt	3.1.1509.1	2008.07.04	-
Symantec	10	2008.07.09	-
TheHacker	6.2.96.374	2008.07.07	-
TrendMicro	8.700.0.1004	2008.07.09	-
VBA32	3.12.6.8	2008.07.08	-
VirusBuster	4.5.11.0	2008.07.09	-
Webwasher-Gateway	6.6.2	2008.07.09	Win32.Malware.gen (suspicious)
Information additionnelle
File size: 89088 bytes
MD5...: 254daea47110b81436254dac4d6ae36d
SHA1..: 1714c8c0df5cbcae3264e462d5fe2b40c6610d2e
SHA256: 703e17edb8a7533a29c22a97af7db2aa1713654ddbe389498e500fa89faed20d
SHA512: 02904b4ab9b43da42186d8500ac04485bf89d5a9d3f05c514a0b9c0dd5b6d603
6c41598502ac07c4c757aade2a5cf7aecec00c532f23d0ba12ec8f9e306f7784
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100014a1
timedatestamp.....: 0x486b4ed7 (Wed Jul 02 09:48:07 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.33 5adf11330d480bf21b1a47b717719524
.rdata 0x3000 0x1000 0x600 3.81 0d779f40936ded1dc0fb2d3e40c0cb49
CODE 0x4000 0x1000 0x800 7.91 63f256b8b79d17d26420815f9ad1e715
CODE 0x5000 0x1000 0x400 7.81 c366b95c508010d1c4a8a1ea1bf3d0bd
.data 0x6000 0x2000 0x1400 7.96 4d6c89074197e2fa1b3cf1bf686ca3fc
.data 0x8000 0x1e000 0xf800 7.99 ec7a210b202c87e8ce32eaf5512baa2a

( 1 imports )
> user32.dll: BeginPaint, EndPaint, GetDesktopWindow, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4609779400B8B1205C4701FF0182650


L'adresse : http://www.virustotal.com/fr/analisis/b9ad8829ee90ea698505c52cbe155960

Alors ca donne quoi ?

Merci

F-MATH

jlpjlp · Answer

on vire



télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 



C:\WINDOWS\system32\qfchswma.dll


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

____________________

vire ce qui est dans moved files en allant dans poste detravail puis C puis otmovit

_____________________

installe spywareblaster: pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html

____________________

tu peux garder malwarebyte's antimalware en complément de ton antivirus


________________


pour virer le reste que je t'ai fais utiliser lance tools cleaner:

http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner






bonne suite

F-MATH · Answer

Salut

J'ai supprimer la dll avec OTMoveIt comme tu me l'a dit.
J'ai ensuite installer spywareblaster et j'ai immunisé le système.
J'ai ensuite utilisé tools cleaner pour supprimer les outils de désinfection. J'ai aussi viré combofix, OTMveIt et tools cleaner.
Donc maintenant, c'est bon le système est clean ?
Je vais effectivement garder malwarebyte's antimalware et je vais l'installer sur mes 2 autres ordis pour faire un contrôle.
Je les j'emmurerais aussi avec spywareblaster.

Merci

F-MATH

jlpjlp · Answer

oui c'est bon

mets a jour juste java:
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

F-MATH · Answer

Salut

Ok merci beaucoup pour ton aide.

Merci beaucoup

F-MATH

jlpjlp · Answer

de rien

bonne continuation

Virus : désinfecter et réparer les dégats

22 réponses

Discussions similaires

Newsletters