[Infection] Nid de culture a Trojan

Byleth -  
 Byleth -
Bonjour a tous,

Je viens vers vous car mes connaissances en virologie informatique ne sont pas suffisantes pour me débarrasser de mon nid. En effet, mon PC est devenu une vraie culture... bref...

Spybot m'a déjà détecte ça:

-Virtumonde (qui revient à chaque démarrage)
-Virtumonde.dll
-BlueStreak

Antivir (depuis que Spybot les a vu) détecte ça:

-TR/Vundo.Gen
-TR/Monderc.103424.1 (aussi vu par Kapersky Online)
-TR/Monderc.25088.21
-TR/Monderc.81408
-TR/Crypt.XPACK.Gen

De plus, TeaTimer me spam de demande de confirmation pour des modification de ma base de registre avec comme objet "Object Browser" alors que je n'ai fait aucune modification dessus

J'avais aussi, et je suppose que j'en ai encore, des cookies traçant...
Bref, un nid de culture a toutes les merdes qu'on peut chopper sur le net quoi...et plus le temps passe... plus il m'en trouve...

Merci d'avance a toute aide que vous pourrez m'apporter.

********************************************************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:09, on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\a-squared Free\a2service.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Logitech\G-series Software\LGDCore.exe
D:\Program Files\Logitech\G-series Software\LCDMon.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
D:\Documents and Settings\Byleth\Bureau\HiJackThis.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lstard.stormcorp.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1270BCC9-7188-40B7-939F-06097C17CD38} - D:\WINDOWS\system32\yayvWppq.dll (file missing)
O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - D:\WINDOWS\system32\fccaBtst.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll
O2 - BHO: (no name) - {A6EF4192-382B-4FC3-A5C9-043E1F4A5F67} - D:\WINDOWS\system32\khfFWoPi.dll (file missing)
O2 - BHO: {e5a40cb1-a272-a61b-4314-c514fd390a6d} - {d6a093df-415c-4134-b16a-272a1bc04a5e} - D:\WINDOWS\system32\atgqia.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Program Files\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "D:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "D:\PROGRA~1\MESSEN~1\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - S-1-5-18 Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Soft\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Soft\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{315D74C3-E114-484E-95AB-683DCF1C9F80}: NameServer = 212.27.32.176,212.27.32.177
O20 - Winlogon Notify: vtUMEvUn - D:\WINDOWS\SYSTEM32\vtUMEvUn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: LVCOMSer - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8321 bytes
********************************************************************************************
Configuration: Windows XP
Firefox 2.0.0.2

15 réponses

  1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    1) Télécharge VundoFix.exe sur ton Bureau : https://www.broadcom.com/support/security-center

    # Double-clique sur VundoFix.exe afin de le lancer
    Clique sur le bouton Scan for Vundo
    Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

    Si VundoFix n'arrive pas à supprimer certains fichiers, redémarre en mode sans échec (tapote plusieurs fois sur F8 lors du redémarrage de l'ordinateur, avant l'apparition du logo Windows) et refais le nettoyage.

    2) Télécharge virtumondebegone

    # Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau, celui de vundofix situé dans C:\vundofix.txt et un nouveau rapport HijackThis dans ta prochaine réponse.
    2
  2. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    bjr

    commencont par cela
    tu fixe ces lignes la

    O2 - BHO: (no name) - {1270BCC9-7188-40B7-939F-06097C17CD38} - D:\WINDOWS\system32\yayvWppq.dll (file missing)

    O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - D:\WINDOWS\system32\fccaBtst.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll

    O2 - BHO: (no name) - {A6EF4192-382B-4FC3-A5C9-043E1F4A5F67} - D:\WINDOWS\system32\khfFWoPi.dll (file missing)

    O2 - BHO: {e5a40cb1-a272-a61b-4314-c514fd390a6d} - {d6a093df-415c-4134-b16a-272a1bc04a5e} - D:\WINDOWS\system32\atgqia.dll

    apres
    1 - Faites bien les mises à jour

    2 - Assurez vous de n'avoir qu'un seul antivirus d'installé.

    3 - Faites tous les scans (principalement Spybot et Ad-aware)

    4 - Nettoyez votre base de registre avec CCleaner

    5 - Redémarrez le pc.

    6 - Ouvrez juste les applications nécessaires (important)

    7 - Utilisez maintenant HiJackThis. (Hors connexion internet !)

    et tu nous refait un rapport
    @+

    0
  3. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    bjr

    commencont par cela
    tu fixe ces lignes la

    O2 - BHO: (no name) - {1270BCC9-7188-40B7-939F-06097C17CD38} - D:\WINDOWS\system32\yayvWppq.dll (file missing)

    O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - D:\WINDOWS\system32\fccaBtst.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll

    O2 - BHO: (no name) - {A6EF4192-382B-4FC3-A5C9-043E1F4A5F67} - D:\WINDOWS\system32\khfFWoPi.dll (file missing)

    O2 - BHO: {e5a40cb1-a272-a61b-4314-c514fd390a6d} - {d6a093df-415c-4134-b16a-272a1bc04a5e} - D:\WINDOWS\system32\atgqia.dll

    apres
    1 - Faites bien les mises à jour

    2 - Assurez vous de n'avoir qu'un seul antivirus d'installé.

    3 - Faites tous les scans (principalement Spybot et Ad-aware)

    4 - Nettoyez votre base de registre avec CCleaner

    5 - Redémarrez le pc.

    6 - Ouvrez juste les applications nécessaires (important)

    7 - Utilisez maintenant HiJackThis. (Hors connexion internet !)

    et tu nous refait un rapport
    @+

    0
  4. Byleth
     
    je sais, d'apres Antivir, que les DLL indiquées dans "O2" sont source de Trojan

    A savoir:

    Vundo:

    O2 - BHO: (no name) - {1270BCC9-7188-40B7-939F-06097C17CD38} - D:\WINDOWS\system32\yayvWppq.dll (file missing)
    O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - D:\WINDOWS\system32\fccaBtst.dll

    Moderc:

    O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll

    Crypt.XPACK.Gen:

    O2 - BHO: {e5a40cb1-a272-a61b-4314-c514fd390a6d} - {d6a093df-415c-4134-b16a-272a1bc04a5e} - D:\WINDOWS\system32\atgqia.dll

    Inconnu:

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {A6EF4192-382B-4FC3-A5C9-043E1F4A5F67} - D:\WINDOWS\system32\khfFWoPi.dll (file missing)

    Mais le problème est que je n'arrive pas a m'en débarrasser
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    oui je vois
    mais je dis bien sur les fixer avec HijackThis
    non

    et apres cela donne quoi???
    0
  7. Byleth
     
    Tout d'abord, merci de vos réponses...

    Alors en ce qui concerne le Fix sur HiJackThis, Tout est enlevé excepté ces 2 lignes:

    O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll
    O2 - BHO: (no name) - {EF960136-8391-4CBB-8642-EE7B6CFB782F} - D:\WINDOWS\system32\fccaBtst.dll

    Pour l'antivirus, il n'y a que "Avira Antivir Personnal" de son pti nom complet. J'ai utilise le scan online de Kapersky que j'ai trouvé en farfouillant les threads sur des problemes similaires en veillant bien a désactiver le mien le temps du scan.

    Je fais actuellement le Scan de Ad-aware que je viens de remettre a jour.

    J'ai nettoyé la base avec CCleaner et la j'avoue que ... il y avait quelques erreurs... mea culpa.

    Je poste le rapport HIJackThis des que j'ai fini les 2 autres scans
    0
  8. lecristal Messages postés 961 Date d'inscription   Statut Membre Dernière intervention   18
     
    O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll
    O2 - BHO: (no name) - {EF960136-8391-4CBB-8642-EE7B6CFB782F} - D:\WINDOWS\system32\fccaBtst.dll
    je n'ai rien trouveé a ce propos
    google ne connait pas!!!!!!!!!!!

    nous attendons ton rapport :))
    0
  9. magma
     
    O20 - Winlogon Notify: vtUMEvUn - D:\WINDOWS\SYSTEM32\vtUMEvUn.dll
    O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll

    vundo
    poste 5
    0
  10. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Byleth :
    le trojan Vundo est une infection sérieuse, tu n'arriveras pas à le supprimer avec Spybot et Ad-aware, il faut utiliser des programmes spécifiques à cette infection (si tu regardes les autres posts de ce forum, tu verras qu'on utilise très peu ces deux anti-spywares pour désinfecter). Quant à CCleaner, il fais un peu de nettoyage, mais pas de désinfection.

    Enfin, fixer des lignes avec Hijackthis va supprimer des entrées dans le registre, mais pas l'infection elle-même : je vous renvoie au message 5 pour cela.
    0
  11. Byleth
     
    Merci beaucoup Anthony,

    Justement j'allais en venir a cette partie. Je suivais juste l'ordre des postes pour donner un maximum d'information au sujet de mon infection.

    Je suis en train de suivre la procédure que tu as indique en 5.

    Je te donne un retour des que j'ai fini.
    0
  12. Byleth
     
    Rapport VundoFix:

    Vundo trojan not detected

    Rapport VirtumundoBegone:

    [07/03/2008, 17:01:31] - VirtumundoBeGone v1.5 ( "D:\Documents and Settings\Byleth\Bureau\VirtumundoBeGone.exe" )
    [07/03/2008, 17:01:44] - Detected System Information:
    [07/03/2008, 17:01:44] - Windows Version: 5.1.2600, Service Pack 2
    [07/03/2008, 17:01:44] - Current Username: Byleth (Admin)
    [07/03/2008, 17:01:44] - Windows is in NORMAL mode.
    [07/03/2008, 17:01:44] - Searching for Browser Helper Objects:
    [07/03/2008, 17:01:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
    [07/03/2008, 17:01:44] - BHO 2: {5F034741-62BB-4CDB-83F0-1D016DB921BF} ()
    [07/03/2008, 17:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [07/03/2008, 17:01:44] - No filename found. Continuing.
    [07/03/2008, 17:01:44] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [07/03/2008, 17:01:44] - BHO 4: {A260787B-911C-49A1-AE73-EC76A3CEC27E} ()
    [07/03/2008, 17:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [07/03/2008, 17:01:44] - Checking for HKLM\...\Winlogon\Notify\vtUMEvUn
    [07/03/2008, 17:01:44] - Found: HKLM\...\Winlogon\Notify\vtUMEvUn - This is probably Virtumundo.
    [07/03/2008, 17:01:44] - Assigning {A260787B-911C-49A1-AE73-EC76A3CEC27E} MSEvents Object
    [07/03/2008, 17:01:44] - BHO list has been changed! Starting over...
    [07/03/2008, 17:01:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
    [07/03/2008, 17:01:44] - BHO 2: {5F034741-62BB-4CDB-83F0-1D016DB921BF} ()
    [07/03/2008, 17:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [07/03/2008, 17:01:44] - No filename found. Continuing.
    [07/03/2008, 17:01:44] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [07/03/2008, 17:01:44] - BHO 4: {A260787B-911C-49A1-AE73-EC76A3CEC27E} (MSEvents Object)
    [07/03/2008, 17:01:44] - ALERT: Found MSEvents Object!
    [07/03/2008, 17:01:44] - BHO 5: {CD408645-46B2-4788-8D71-21E891ED6E37} ()
    [07/03/2008, 17:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [07/03/2008, 17:01:44] - Checking for HKLM\...\Winlogon\Notify\fccaBtst
    [07/03/2008, 17:01:44] - Key not found: HKLM\...\Winlogon\Notify\fccaBtst, continuing.
    [07/03/2008, 17:01:44] - Finished Searching Browser Helper Objects
    [07/03/2008, 17:01:44] - *** Detected MSEvents Object
    [07/03/2008, 17:01:44] - Trying to remove MSEvents Object...
    [07/03/2008, 17:01:45] - Terminating Process: IEXPLORE.EXE
    [07/03/2008, 17:01:45] - Terminating Process: RUNDLL32.EXE
    [07/03/2008, 17:01:45] - Disabling Automatic Shell Restart
    [07/03/2008, 17:01:45] - Terminating Process: EXPLORER.EXE
    [07/03/2008, 17:01:46] - Suspending the NT Session Manager System Service
    [07/03/2008, 17:01:46] - Terminating Windows NT Logon/Logoff Manager
    [07/03/2008, 17:01:46] - Re-enabling Automatic Shell Restart
    [07/03/2008, 17:01:46] - File to disable: D:\WINDOWS\system32\vtUMEvUn.dll
    [07/03/2008, 17:01:46] - Renaming D:\WINDOWS\system32\vtUMEvUn.dll -> D:\WINDOWS\system32\vtUMEvUn.dll.vir
    [07/03/2008, 17:01:46] - File successfully renamed!
    [07/03/2008, 17:01:46] - Removing HKLM\...\Browser Helper Objects\{A260787B-911C-49A1-AE73-EC76A3CEC27E}
    [07/03/2008, 17:01:46] - Removing HKCR\CLSID\{A260787B-911C-49A1-AE73-EC76A3CEC27E}
    [07/03/2008, 17:01:46] - Adding Kill Bit for ActiveX for GUID: {A260787B-911C-49A1-AE73-EC76A3CEC27E}
    [07/03/2008, 17:01:46] - Deleting ATLEvents/MSEvents Registry entries
    [07/03/2008, 17:01:46] - Removing HKLM\...\Winlogon\Notify\vtUMEvUn
    [07/03/2008, 17:01:46] - Searching for Browser Helper Objects:
    [07/03/2008, 17:01:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
    [07/03/2008, 17:01:46] - BHO 2: {5F034741-62BB-4CDB-83F0-1D016DB921BF} ()
    [07/03/2008, 17:01:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [07/03/2008, 17:01:46] - No filename found. Continuing.
    [07/03/2008, 17:01:46] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [07/03/2008, 17:01:46] - BHO 4: {CD408645-46B2-4788-8D71-21E891ED6E37} ()
    [07/03/2008, 17:01:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [07/03/2008, 17:01:46] - Checking for HKLM\...\Winlogon\Notify\fccaBtst
    [07/03/2008, 17:01:46] - Key not found: HKLM\...\Winlogon\Notify\fccaBtst, continuing.
    [07/03/2008, 17:01:46] - Finished Searching Browser Helper Objects
    [07/03/2008, 17:01:46] - Finishing up...
    [07/03/2008, 17:01:46] - A restart is needed.
    [07/03/2008, 17:01:46] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
    [07/03/2008, 17:02:14] - Attempting to Restart via STOP error (Blue Screen!)

    Il m'a vire 2 entrees de la base de registre dont une qui semble celle qui m'embetait

    Maintenant il me reste toujours des alertes AVIRA pour:

    TR/Monderc
    TR/crypt.XPACK.Gen

    Rapport HiJackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:13:33, on 03/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\Program Files\a-squared Free\a2service.exe
    D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\WINDOWS\system32\HPZipm12.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Logitech\G-series Software\LGDCore.exe
    D:\Program Files\Logitech\G-series Software\LCDMon.exe
    D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    D:\WINDOWS\system32\RUNDLL32.EXE
    D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
    D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
    D:\Program Files\Logitech\QuickCam\Quickcam.exe
    D:\WINDOWS\lclock.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
    D:\Program Files\MSN Messenger\msnmsgr.exe
    D:\PROGRA~1\MESSEN~1\msmsgs.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    D:\Program Files\Logitech\SetPoint\SetPoint.exe
    D:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    D:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\WINDOWS\system32\NOTEPAD.EXE
    D:\Documents and Settings\Byleth\Bureau\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lstard.stormcorp.net/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {CD408645-46B2-4788-8D71-21E891ED6E37} - D:\WINDOWS\system32\fccaBtst.dll (file missing)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Launch LGDCore] "D:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "D:\Program Files\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "D:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
    O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [LClock] lclock.exe
    O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [updateMgr] "D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKCU\..\Run: [MSMSGS] "D:\PROGRA~1\MESSEN~1\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
    O4 - S-1-5-18 Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'SYSTEM')
    O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
    O4 - .DEFAULT Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'Default user')
    O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
    O4 - Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe
    O4 - Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe
    O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Soft\Office\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Soft\Office\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{315D74C3-E114-484E-95AB-683DCF1C9F80}: NameServer = 212.27.32.176,212.27.32.177
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: HP Port Resolver - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
    O23 - Service: HP Status Server - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
    O23 - Service: LVCOMSer - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
    0
  13. Byleth
     
    Quand je regarde le rapport HiJackThis, bien que je ne sois pas un expert dans ce domaine, il me semble qu'il ne me vire pas la ligne "O2" associée... dois je la corriger par un FIX ?

    De plus, je n'arrive toujours pas a me débarrasser de mes 2 autres Trojan, à savoir

    TR/Monderc
    TR/crypt.XPACK.Gen

    Qui ont pour effet de déclencher Avira... qui me demande ce qu'il doit en faire.. et me ralentit considérablement le PC car il attend une réponse de ma part en boucle (ne gardant pas la dernière action réalisée)

    Au final, si je laisse comme ça, mon pc sature et fini par planter...

    Que puis je faire pour ces 2 petites choses aussi malveillantes que ch.... ?

    Merci de vos réponses pour Vundo/Virtumonde et merci d'avance pour les prochaines réponses
    0
  14. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    - Désactive tes logiciels de sécurité.

    - Télécharge Combofix (de sUBs) sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    - Double clique sur combofix.exe

    - Tape sur la touche 1 (Yes) pour démarrer le scan.

    - Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    (Ajoute un nouveau rapport HiJackThis avec stp)
    0
  15. Byleth
     
    Rapport ComboFix

    ComboFix 08-07-02.5 - Byleth 2008-07-03 20:10:37.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.625 [GMT 2:00]
    Endroit: D:\Documents and Settings\Byleth\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    D:\WINDOWS\cookies.ini
    D:\WINDOWS\pskt.ini
    D:\WINDOWS\system32\cebvnmvt.dll
    D:\WINDOWS\system32\exixulvx.ini
    D:\WINDOWS\system32\iPoWFfhk.ini
    D:\WINDOWS\system32\iPoWFfhk.ini2
    D:\WINDOWS\system32\mcrh.tmp
    D:\WINDOWS\system32\oysjfirk.ini
    D:\WINDOWS\system32\qcjlwrgl.ini
    D:\WINDOWS\system32\qppWvyay.ini
    D:\WINDOWS\system32\qppWvyay.ini2
    D:\WINDOWS\system32\tstBaccf.ini
    D:\WINDOWS\system32\tstBaccf.ini2
    D:\WINDOWS\system32\tvmnvbec.ini

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-03 to 2008-07-03 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-03 20:14 . 2008-07-03 20:14 <REP> d--hs---- D:\WINDOWS\system32\dllcache
    2008-07-03 15:31 . 2008-07-03 15:33 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-07-03 15:18 . 2008-07-03 15:18 <REP> d-------- D:\Program Files\CCleaner
    2008-07-02 20:10 . 2008-02-06 04:21 4,658,456 -ra------ D:\WINDOWS\system32\drivers\lvuvc.sys
    2008-07-02 20:06 . 2008-07-02 20:10 <REP> d-------- D:\Program Files\Fichiers communs\LogiShrd
    2008-07-02 20:04 . 2008-07-02 20:04 102,912 --a------ D:\WINDOWS\system32\xonrhnqn.dll
    2008-07-02 20:01 . 2008-07-02 20:01 319,488 --a------ D:\WINDOWS\system32\fccaBtst.VIR
    2008-07-02 19:54 . 2008-07-02 19:54 <REP> d-------- D:\Documents and Settings\Byleth\Application Data\Logitech
    2008-07-02 19:44 . 2008-07-02 19:44 <REP> d-------- D:\Program Files\Fichiers communs\LogiShared
    2008-07-02 19:44 . 2008-07-02 19:44 <REP> d-------- D:\Documents and Settings\Byleth\Application Data\Leadertech
    2008-07-02 19:43 . 2008-07-02 19:43 0 --ah----- D:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
    2008-07-02 19:42 . 2007-04-11 15:33 1,419,024 --a------ D:\WINDOWS\system32\WdfCoInstaller01005.dll
    2008-07-02 19:42 . 2007-04-11 15:32 56,080 --a------ D:\WINDOWS\KHALMNPR.Exe
    2008-07-02 19:42 . 2007-04-11 15:32 36,112 --a------ D:\WINDOWS\system32\drivers\LMouFilt.Sys
    2008-07-02 19:42 . 2007-04-11 15:32 34,832 --a------ D:\WINDOWS\system32\drivers\LHidFilt.Sys
    2008-07-02 19:42 . 2007-04-11 15:33 28,688 --a------ D:\WINDOWS\system32\drivers\LUsbFilt.sys
    2008-07-02 19:42 . 2008-07-02 19:42 0 --ah----- D:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
    2008-07-02 19:42 . 2008-07-02 19:42 0 --ah----- D:\WINDOWS\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
    2008-07-02 19:36 . 2008-07-02 19:36 <REP> d-------- D:\Documents and Settings\Byleth\Application Data\InstallShield
    2008-07-02 19:36 . 2007-04-23 04:00 163,840 --a------ D:\WINDOWS\system32\kemutb.dll
    2008-07-02 19:36 . 2007-04-23 04:00 135,168 --a------ D:\WINDOWS\system32\KemUtil.dll
    2008-07-02 19:36 . 2007-04-23 04:00 110,592 --a------ D:\WINDOWS\system32\KemWnd.dll
    2008-07-02 19:36 . 2007-04-23 04:00 69,632 --a------ D:\WINDOWS\system32\KemXML.dll
    2008-07-02 11:22 . 2008-07-03 17:15 <REP> d-------- D:\Program Files\a-squared Free
    2008-07-02 09:28 . 2008-07-02 09:28 81,408 --a------ D:\WINDOWS\system32\lgrwljcq.dll
    2008-07-02 09:25 . 2008-07-02 09:25 110,415 --a------ D:\WINDOWS\BM63ff64f5.xml
    2008-07-02 09:25 . 2008-07-02 09:25 103,424 --a------ D:\WINDOWS\system32\tcgoodtb.dll
    2008-07-01 21:22 . 2008-07-01 21:22 318,976 --------- D:\WINDOWS\system32\yayvWppq.dll_old
    2008-07-01 21:16 . 2008-07-01 21:16 <REP> d-------- D:\VundoFix Backups
    2008-07-01 19:15 . 2008-07-01 19:15 <REP> d-------- D:\Program Files\Spybot - Search & Destroy
    2008-07-01 19:15 . 2008-07-01 20:46 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-07-01 12:27 . 2008-07-01 12:29 28,891 --a------ D:\WINDOWS\scunin.dat
    2008-07-01 12:26 . 2008-07-01 12:29 70,656 --a------ D:\WINDOWS\ScUnin.exe
    2008-07-01 12:26 . 2008-07-01 12:29 967 --a------ D:\WINDOWS\ScUnin.pif
    2008-07-01 12:25 . 2008-07-01 12:25 25,088 --a------ D:\WINDOWS\system32\vtUMEvUn.dll.vir
    2008-07-01 12:25 . 2008-07-01 12:25 25,088 --a------ D:\WINDOWS\system32\qoMgDtro.dll
    2008-06-27 12:38 . 2008-06-27 12:38 <REP> d-------- D:\Program Files\Hewlett-Packard
    2008-06-27 12:36 . 2006-03-03 21:03 69,632 --a------ D:\WINDOWS\system32\HPZipm12.1
    2008-06-27 12:35 . 2008-06-27 12:41 121,579 --a------ D:\WINDOWS\hpoins11.dat
    2008-06-27 12:34 . 2006-05-06 06:15 6,947 --a------ D:\WINDOWS\hpomdl11.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-03 18:13 0 ----a-w D:\WINDOWS\system32\drivers\logiflt.iad
    2008-07-03 15:14 --------- d-----w D:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-07-02 18:10 0 ----a-w D:\WINDOWS\system32\drivers\lvuvc.hs
    2008-07-02 18:06 --------- d-----w D:\Program Files\Logitech
    2008-07-02 18:06 --------- d-----w D:\Documents and Settings\All Users\Application Data\Logishrd
    2008-07-02 17:51 --------- d-----w D:\Program Files\Fichiers communs\Logitech
    2008-07-02 17:36 --------- d--h--w D:\Program Files\InstallShield Installation Information
    2008-07-02 17:36 --------- d-----w D:\Documents and Settings\All Users\Application Data\Logitech
    2008-07-01 19:37 --------- d-----w D:\Program Files\ma-config.com
    2008-07-01 07:27 --------- d-----w D:\Program Files\Windows Live Safety Center
    2008-06-19 22:57 --------- d-----w D:\Documents and Settings\Byleth\Application Data\teamspeak2
    2008-06-14 21:33 --------- d-----w D:\Program Files\Navirad
    2008-06-07 17:04 --------- d-----w D:\Documents and Settings\Byleth\Application Data\Sony
    2008-06-07 14:40 --------- d-----w D:\Documents and Settings\Byleth\Application Data\Publish Providers
    2008-05-23 17:26 --------- d-----w D:\Program Files\Avira
    2008-05-23 17:26 --------- d-----w D:\Documents and Settings\All Users\Application Data\Avira
    2008-04-23 11:58 4,608 ----a-w D:\WINDOWS\system32\BReWErS.dll
    2005-08-16 19:14 121 ----a-w D:\WINDOWS\system32\config\systemprofile\user.bat
    2005-08-16 19:14 121 ----a-w D:\Documents and Settings\Default User\user.bat
    2005-08-16 19:14 121 ----a-w D:\Documents and Settings\Byleth\user.bat
    .

    ------- Sigcheck -------

    2004-12-10 23:44 359040 37e6643b1c4fb5de3a4fcef92909b4ad D:\WINDOWS\system32\drivers\tcpip.sys

    2004-12-03 18:12 1036288 0e32ca931db10f6852ee25c7ccd4d8bf D:\WINDOWS\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="D:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]
    "updateMgr"="D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
    "SpybotSD TeaTimer"="D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
    "LClock"="lclock.exe" [2004-12-08 18:06 65536 D:\WINDOWS\LClock.exe]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
    "Launch LGDCore"="D:\Program Files\Logitech\G-series Software\LGDCore.exe" [2006-03-06 15:31 1122304]
    "Launch LCDMon"="D:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 15:14 497152]
    "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
    "SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
    "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
    "avgnt"="D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
    "LogitechCommunicationsManager"="D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 13:02 564496]
    "LogitechQuickCamRibbon"="D:\Program Files\Logitech\QuickCam\Quickcam.exe" [2008-02-13 13:06 2196240]
    "SoundMan"="SOUNDMAN.EXE" [2003-03-27 16:34 53248 D:\WINDOWS\SOUNDMAN.EXE]
    "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 D:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 02:54 15360]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "ForceClassicControlPanel"= 1 (0x1)
    "NoSMBalloonTip"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.YV12"= yv12vfw.dll
    "msacm.ac3filter"= ac3filter.acm

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2007-02-16 11:54 282624 D:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
    --a------ 2007-04-11 15:32 56080 D:\WINDOWS\KHALMNPR.Exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "IDriverT"=3 (0x3)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "D:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "D:\\Program Files\\MSN Messenger\\livecall.exe"=
    "E:\\Jeux\\Hellgate\\Launcher.exe"=
    "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

    R0 sojubus;sojubus;D:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 10:41]
    R0 sojuscsi;sojuscsi;D:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 10:57]
    R3 LVRS;Logitech RightSound Filter Driver;D:\WINDOWS\system32\DRIVERS\lvrs.sys [2008-02-06 04:20]
    S3 PciCon;PciCon;F:\PciCon.sys []

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa4383c6-bdfe-11dc-bec6-00301bb2eb09}]
    \Shell\AutoRun\command - I:\Setup.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2007-03-14 17:41:28 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - D:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    - - - - ORPHANS REMOVED - - - -

    BHO-{5F034741-62BB-4CDB-83F0-1D016DB921BF} - (no file)
    BHO-{CD408645-46B2-4788-8D71-21E891ED6E37} - (no file)
    ShellExecuteHooks-{A260787B-911C-49A1-AE73-EC76A3CEC27E} - (no file)
    Notify-AtiExtEvent - (no file)

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-03 20:15:00
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\WINDOWS\system32\HPZipm12.exe
    D:\WINDOWS\system32\wdfmgr.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
    D:\WINDOWS\system32\rundll32.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
    D:\WINDOWS\system32\wscntfy.exe
    D:\Program Files\Logitech\SetPoint\SetPoint.exe
    D:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.exe
    D:\Program Files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-03 20:16:20 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-03 18:16:16

    Pre-Run: 6,539,448,320 octets libres
    Post-Run: 6,474,473,472 octets libres

    196

    ********************************************************************************************
    ********************************************************************************************

    Rapport HiJackThis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:17:32, on 03/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    D:\WINDOWS\system32\nvsvc32.exe
    D:\WINDOWS\system32\HPZipm12.exe
    D:\WINDOWS\system32\svchost.exe
    D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Logitech\G-series Software\LGDCore.exe
    D:\Program Files\Logitech\G-series Software\LCDMon.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
    D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    D:\WINDOWS\system32\RUNDLL32.EXE
    D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
    D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
    D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
    D:\Program Files\Logitech\QuickCam\Quickcam.exe
    D:\WINDOWS\lclock.exe
    D:\Program Files\MSN Messenger\msnmsgr.exe
    D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    D:\WINDOWS\system32\wscntfy.exe
    D:\Program Files\Logitech\SetPoint\SetPoint.exe
    D:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
    D:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    D:\WINDOWS\explorer.exe
    D:\WINDOWS\system32\notepad.exe
    D:\Program Files\MSN Messenger\usnsvc.exe
    D:\Program Files\Mozilla Firefox\firefox.exe
    D:\Documents and Settings\Byleth\Bureau\HiJackThis.exe
    D:\WINDOWS\system32\NOTEPAD.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lstard.stormcorp.net/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Launch LGDCore] "D:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "D:\Program Files\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "D:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
    O4 - HKCU\..\Run: [LClock] lclock.exe
    O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [updateMgr] "D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
    O4 - S-1-5-18 Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'SYSTEM')
    O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
    O4 - .DEFAULT Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'Default user')
    O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
    O4 - Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe
    O4 - Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe
    O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Soft\Office\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Soft\Office\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{315D74C3-E114-484E-95AB-683DCF1C9F80}: NameServer = 212.27.32.176,212.27.32.177
    O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: HP Port Resolver - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
    O23 - Service: HP Status Server - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
    O23 - Service: LVCOMSer - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
    0
  16. Byleth
     
    Bonjour a tous,

    Que puis je faire de plus concernant mon system et mes ... petits problèmes de culture?
    0