Sujet Précédent Sujet Suivant

[Infection] Nid de culture a Trojan

Fermé
Byleth - 3 juil. 2008 à 14:43
 Byleth - 4 juil. 2008 à 17:52
Bonjour a tous,

Je viens vers vous car mes connaissances en virologie informatique ne sont pas suffisantes pour me débarrasser de mon nid. En effet, mon PC est devenu une vraie culture... bref...

Spybot m'a déjà détecte ça:

-Virtumonde (qui revient à chaque démarrage)
-Virtumonde.dll
-BlueStreak


Antivir (depuis que Spybot les a vu) détecte ça:

-TR/Vundo.Gen
-TR/Monderc.103424.1 (aussi vu par Kapersky Online)
-TR/Monderc.25088.21
-TR/Monderc.81408
-TR/Crypt.XPACK.Gen

De plus, TeaTimer me spam de demande de confirmation pour des modification de ma base de registre avec comme objet "Object Browser" alors que je n'ai fait aucune modification dessus

J'avais aussi, et je suppose que j'en ai encore, des cookies traçant...
Bref, un nid de culture a toutes les merdes qu'on peut chopper sur le net quoi...et plus le temps passe... plus il m'en trouve...


Merci d'avance a toute aide que vous pourrez m'apporter.





********************************************************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:09, on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\a-squared Free\a2service.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Logitech\G-series Software\LGDCore.exe
D:\Program Files\Logitech\G-series Software\LCDMon.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
D:\Documents and Settings\Byleth\Bureau\HiJackThis.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lstard.stormcorp.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1270BCC9-7188-40B7-939F-06097C17CD38} - D:\WINDOWS\system32\yayvWppq.dll (file missing)
O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - D:\WINDOWS\system32\fccaBtst.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll
O2 - BHO: (no name) - {A6EF4192-382B-4FC3-A5C9-043E1F4A5F67} - D:\WINDOWS\system32\khfFWoPi.dll (file missing)
O2 - BHO: {e5a40cb1-a272-a61b-4314-c514fd390a6d} - {d6a093df-415c-4134-b16a-272a1bc04a5e} - D:\WINDOWS\system32\atgqia.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Program Files\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "D:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "D:\PROGRA~1\MESSEN~1\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - S-1-5-18 Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Soft\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Soft\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{315D74C3-E114-484E-95AB-683DCF1C9F80}: NameServer = 212.27.32.176,212.27.32.177
O20 - Winlogon Notify: vtUMEvUn - D:\WINDOWS\SYSTEM32\vtUMEvUn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: LVCOMSer - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
A voir également:

15 réponses

Réponse 1 / 15
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 juil. 2008 à 15:11
Bonjour,

1) Télécharge VundoFix.exe sur ton Bureau : https://www.broadcom.com/support/security-center

# Double-clique sur VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est terminé, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

Si VundoFix n'arrive pas à supprimer certains fichiers, redémarre en mode sans échec (tapote plusieurs fois sur F8 lors du redémarrage de l'ordinateur, avant l'apparition du logo Windows) et refais le nettoyage.


2) Télécharge virtumondebegone

# Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau, celui de vundofix situé dans C:\vundofix.txt et un nouveau rapport HijackThis dans ta prochaine réponse.
2
Réponse 2 / 15
lecristal Messages postés 961 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 9 août 2022 18
3 juil. 2008 à 14:50
bjr

commencont par cela
tu fixe ces lignes la

O2 - BHO: (no name) - {1270BCC9-7188-40B7-939F-06097C17CD38} - D:\WINDOWS\system32\yayvWppq.dll (file missing)

O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - D:\WINDOWS\system32\fccaBtst.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll

O2 - BHO: (no name) - {A6EF4192-382B-4FC3-A5C9-043E1F4A5F67} - D:\WINDOWS\system32\khfFWoPi.dll (file missing)

O2 - BHO: {e5a40cb1-a272-a61b-4314-c514fd390a6d} - {d6a093df-415c-4134-b16a-272a1bc04a5e} - D:\WINDOWS\system32\atgqia.dll

apres
1 - Faites bien les mises à jour

2 - Assurez vous de n'avoir qu'un seul antivirus d'installé.

3 - Faites tous les scans (principalement Spybot et Ad-aware)

4 - Nettoyez votre base de registre avec CCleaner

5 - Redémarrez le pc.

6 - Ouvrez juste les applications nécessaires (important)

7 - Utilisez maintenant HiJackThis. (Hors connexion internet !)

et tu nous refait un rapport
@+


0
Réponse 3 / 15
lecristal Messages postés 961 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 9 août 2022 18
3 juil. 2008 à 14:51
bjr

commencont par cela
tu fixe ces lignes la

O2 - BHO: (no name) - {1270BCC9-7188-40B7-939F-06097C17CD38} - D:\WINDOWS\system32\yayvWppq.dll (file missing)

O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - D:\WINDOWS\system32\fccaBtst.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll

O2 - BHO: (no name) - {A6EF4192-382B-4FC3-A5C9-043E1F4A5F67} - D:\WINDOWS\system32\khfFWoPi.dll (file missing)

O2 - BHO: {e5a40cb1-a272-a61b-4314-c514fd390a6d} - {d6a093df-415c-4134-b16a-272a1bc04a5e} - D:\WINDOWS\system32\atgqia.dll

apres
1 - Faites bien les mises à jour

2 - Assurez vous de n'avoir qu'un seul antivirus d'installé.

3 - Faites tous les scans (principalement Spybot et Ad-aware)

4 - Nettoyez votre base de registre avec CCleaner

5 - Redémarrez le pc.

6 - Ouvrez juste les applications nécessaires (important)

7 - Utilisez maintenant HiJackThis. (Hors connexion internet !)

et tu nous refait un rapport
@+


0
Réponse 4 / 15
Byleth
3 juil. 2008 à 14:52
je sais, d'apres Antivir, que les DLL indiquées dans "O2" sont source de Trojan


A savoir:

Vundo:

O2 - BHO: (no name) - {1270BCC9-7188-40B7-939F-06097C17CD38} - D:\WINDOWS\system32\yayvWppq.dll (file missing)
O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - D:\WINDOWS\system32\fccaBtst.dll


Moderc:

O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll


Crypt.XPACK.Gen:

O2 - BHO: {e5a40cb1-a272-a61b-4314-c514fd390a6d} - {d6a093df-415c-4134-b16a-272a1bc04a5e} - D:\WINDOWS\system32\atgqia.dll

Inconnu:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A6EF4192-382B-4FC3-A5C9-043E1F4A5F67} - D:\WINDOWS\system32\khfFWoPi.dll (file missing)

Mais le problème est que je n'arrive pas a m'en débarrasser
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
lecristal Messages postés 961 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 9 août 2022 18
3 juil. 2008 à 15:01
oui je vois
mais je dis bien sur les fixer avec HijackThis
non

et apres cela donne quoi???
0
Réponse 6 / 15
Byleth
3 juil. 2008 à 15:45
Tout d'abord, merci de vos réponses...

Alors en ce qui concerne le Fix sur HiJackThis, Tout est enlevé excepté ces 2 lignes:

O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll
O2 - BHO: (no name) - {EF960136-8391-4CBB-8642-EE7B6CFB782F} - D:\WINDOWS\system32\fccaBtst.dll


Pour l'antivirus, il n'y a que "Avira Antivir Personnal" de son pti nom complet. J'ai utilise le scan online de Kapersky que j'ai trouvé en farfouillant les threads sur des problemes similaires en veillant bien a désactiver le mien le temps du scan.

Je fais actuellement le Scan de Ad-aware que je viens de remettre a jour.

J'ai nettoyé la base avec CCleaner et la j'avoue que ... il y avait quelques erreurs... mea culpa.

Je poste le rapport HIJackThis des que j'ai fini les 2 autres scans
0
Réponse 7 / 15
lecristal Messages postés 961 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 9 août 2022 18
3 juil. 2008 à 15:48
O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll
O2 - BHO: (no name) - {EF960136-8391-4CBB-8642-EE7B6CFB782F} - D:\WINDOWS\system32\fccaBtst.dll
je n'ai rien trouveé a ce propos
google ne connait pas!!!!!!!!!!!

nous attendons ton rapport :))
0
Réponse 8 / 15
magma
3 juil. 2008 à 15:53
O20 - Winlogon Notify: vtUMEvUn - D:\WINDOWS\SYSTEM32\vtUMEvUn.dll
O2 - BHO: (no name) - {A260787B-911C-49A1-AE73-EC76A3CEC27E} - D:\WINDOWS\system32\vtUMEvUn.dll

vundo
poste 5
0
Réponse 9 / 15
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 juil. 2008 à 15:58
Byleth :
le trojan Vundo est une infection sérieuse, tu n'arriveras pas à le supprimer avec Spybot et Ad-aware, il faut utiliser des programmes spécifiques à cette infection (si tu regardes les autres posts de ce forum, tu verras qu'on utilise très peu ces deux anti-spywares pour désinfecter). Quant à CCleaner, il fais un peu de nettoyage, mais pas de désinfection.

Enfin, fixer des lignes avec Hijackthis va supprimer des entrées dans le registre, mais pas l'infection elle-même : je vous renvoie au message 5 pour cela.
0
Réponse 10 / 15
Byleth
3 juil. 2008 à 16:42
Merci beaucoup Anthony,

Justement j'allais en venir a cette partie. Je suivais juste l'ordre des postes pour donner un maximum d'information au sujet de mon infection.

Je suis en train de suivre la procédure que tu as indique en 5.

Je te donne un retour des que j'ai fini.
0
Réponse 11 / 15
Byleth
3 juil. 2008 à 17:06
Rapport VundoFix:

Vundo trojan not detected


Rapport VirtumundoBegone:


[07/03/2008, 17:01:31] - VirtumundoBeGone v1.5 ( "D:\Documents and Settings\Byleth\Bureau\VirtumundoBeGone.exe" )
[07/03/2008, 17:01:44] - Detected System Information:
[07/03/2008, 17:01:44] - Windows Version: 5.1.2600, Service Pack 2
[07/03/2008, 17:01:44] - Current Username: Byleth (Admin)
[07/03/2008, 17:01:44] - Windows is in NORMAL mode.
[07/03/2008, 17:01:44] - Searching for Browser Helper Objects:
[07/03/2008, 17:01:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[07/03/2008, 17:01:44] - BHO 2: {5F034741-62BB-4CDB-83F0-1D016DB921BF} ()
[07/03/2008, 17:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/03/2008, 17:01:44] - No filename found. Continuing.
[07/03/2008, 17:01:44] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/03/2008, 17:01:44] - BHO 4: {A260787B-911C-49A1-AE73-EC76A3CEC27E} ()
[07/03/2008, 17:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/03/2008, 17:01:44] - Checking for HKLM\...\Winlogon\Notify\vtUMEvUn
[07/03/2008, 17:01:44] - Found: HKLM\...\Winlogon\Notify\vtUMEvUn - This is probably Virtumundo.
[07/03/2008, 17:01:44] - Assigning {A260787B-911C-49A1-AE73-EC76A3CEC27E} MSEvents Object
[07/03/2008, 17:01:44] - BHO list has been changed! Starting over...
[07/03/2008, 17:01:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[07/03/2008, 17:01:44] - BHO 2: {5F034741-62BB-4CDB-83F0-1D016DB921BF} ()
[07/03/2008, 17:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/03/2008, 17:01:44] - No filename found. Continuing.
[07/03/2008, 17:01:44] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/03/2008, 17:01:44] - BHO 4: {A260787B-911C-49A1-AE73-EC76A3CEC27E} (MSEvents Object)
[07/03/2008, 17:01:44] - ALERT: Found MSEvents Object!
[07/03/2008, 17:01:44] - BHO 5: {CD408645-46B2-4788-8D71-21E891ED6E37} ()
[07/03/2008, 17:01:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/03/2008, 17:01:44] - Checking for HKLM\...\Winlogon\Notify\fccaBtst
[07/03/2008, 17:01:44] - Key not found: HKLM\...\Winlogon\Notify\fccaBtst, continuing.
[07/03/2008, 17:01:44] - Finished Searching Browser Helper Objects
[07/03/2008, 17:01:44] - *** Detected MSEvents Object
[07/03/2008, 17:01:44] - Trying to remove MSEvents Object...
[07/03/2008, 17:01:45] - Terminating Process: IEXPLORE.EXE
[07/03/2008, 17:01:45] - Terminating Process: RUNDLL32.EXE
[07/03/2008, 17:01:45] - Disabling Automatic Shell Restart
[07/03/2008, 17:01:45] - Terminating Process: EXPLORER.EXE
[07/03/2008, 17:01:46] - Suspending the NT Session Manager System Service
[07/03/2008, 17:01:46] - Terminating Windows NT Logon/Logoff Manager
[07/03/2008, 17:01:46] - Re-enabling Automatic Shell Restart
[07/03/2008, 17:01:46] - File to disable: D:\WINDOWS\system32\vtUMEvUn.dll
[07/03/2008, 17:01:46] - Renaming D:\WINDOWS\system32\vtUMEvUn.dll -> D:\WINDOWS\system32\vtUMEvUn.dll.vir
[07/03/2008, 17:01:46] - File successfully renamed!
[07/03/2008, 17:01:46] - Removing HKLM\...\Browser Helper Objects\{A260787B-911C-49A1-AE73-EC76A3CEC27E}
[07/03/2008, 17:01:46] - Removing HKCR\CLSID\{A260787B-911C-49A1-AE73-EC76A3CEC27E}
[07/03/2008, 17:01:46] - Adding Kill Bit for ActiveX for GUID: {A260787B-911C-49A1-AE73-EC76A3CEC27E}
[07/03/2008, 17:01:46] - Deleting ATLEvents/MSEvents Registry entries
[07/03/2008, 17:01:46] - Removing HKLM\...\Winlogon\Notify\vtUMEvUn
[07/03/2008, 17:01:46] - Searching for Browser Helper Objects:
[07/03/2008, 17:01:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[07/03/2008, 17:01:46] - BHO 2: {5F034741-62BB-4CDB-83F0-1D016DB921BF} ()
[07/03/2008, 17:01:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/03/2008, 17:01:46] - No filename found. Continuing.
[07/03/2008, 17:01:46] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/03/2008, 17:01:46] - BHO 4: {CD408645-46B2-4788-8D71-21E891ED6E37} ()
[07/03/2008, 17:01:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/03/2008, 17:01:46] - Checking for HKLM\...\Winlogon\Notify\fccaBtst
[07/03/2008, 17:01:46] - Key not found: HKLM\...\Winlogon\Notify\fccaBtst, continuing.
[07/03/2008, 17:01:46] - Finished Searching Browser Helper Objects
[07/03/2008, 17:01:46] - Finishing up...
[07/03/2008, 17:01:46] - A restart is needed.
[07/03/2008, 17:01:46] - Automatic Reboot on STOP Error is not set. User will have to manually restart.
[07/03/2008, 17:02:14] - Attempting to Restart via STOP error (Blue Screen!)

Il m'a vire 2 entrees de la base de registre dont une qui semble celle qui m'embetait

Maintenant il me reste toujours des alertes AVIRA pour:

TR/Monderc
TR/crypt.XPACK.Gen


Rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:33, on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\a-squared Free\a2service.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Logitech\G-series Software\LGDCore.exe
D:\Program Files\Logitech\G-series Software\LCDMon.exe
D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Program Files\Logitech\QuickCam\Quickcam.exe
D:\WINDOWS\lclock.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\PROGRA~1\MESSEN~1\msmsgs.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
D:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\Byleth\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lstard.stormcorp.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5F034741-62BB-4CDB-83F0-1D016DB921BF} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {CD408645-46B2-4788-8D71-21E891ED6E37} - D:\WINDOWS\system32\fccaBtst.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Program Files\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "D:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "D:\PROGRA~1\MESSEN~1\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - S-1-5-18 Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Soft\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Soft\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{315D74C3-E114-484E-95AB-683DCF1C9F80}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: LVCOMSer - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
0
Réponse 12 / 15
Byleth
3 juil. 2008 à 17:58
Quand je regarde le rapport HiJackThis, bien que je ne sois pas un expert dans ce domaine, il me semble qu'il ne me vire pas la ligne "O2" associée... dois je la corriger par un FIX ?

De plus, je n'arrive toujours pas a me débarrasser de mes 2 autres Trojan, à savoir

TR/Monderc
TR/crypt.XPACK.Gen

Qui ont pour effet de déclencher Avira... qui me demande ce qu'il doit en faire.. et me ralentit considérablement le PC car il attend une réponse de ma part en boucle (ne gardant pas la dernière action réalisée)

Au final, si je laisse comme ça, mon pc sature et fini par planter...

Que puis je faire pour ces 2 petites choses aussi malveillantes que ch.... ?

Merci de vos réponses pour Vundo/Virtumonde et merci d'avance pour les prochaines réponses
0
Réponse 13 / 15
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 juil. 2008 à 19:55
Bonjour,

- Désactive tes logiciels de sécurité.

- Télécharge Combofix (de sUBs) sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Double clique sur combofix.exe

- Tape sur la touche 1 (Yes) pour démarrer le scan.

- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

(Ajoute un nouveau rapport HiJackThis avec stp)
0
Réponse 14 / 15
Byleth
3 juil. 2008 à 20:11
Rapport ComboFix

ComboFix 08-07-02.5 - Byleth 2008-07-03 20:10:37.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.625 [GMT 2:00]
Endroit: D:\Documents and Settings\Byleth\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS\cookies.ini
D:\WINDOWS\pskt.ini
D:\WINDOWS\system32\cebvnmvt.dll
D:\WINDOWS\system32\exixulvx.ini
D:\WINDOWS\system32\iPoWFfhk.ini
D:\WINDOWS\system32\iPoWFfhk.ini2
D:\WINDOWS\system32\mcrh.tmp
D:\WINDOWS\system32\oysjfirk.ini
D:\WINDOWS\system32\qcjlwrgl.ini
D:\WINDOWS\system32\qppWvyay.ini
D:\WINDOWS\system32\qppWvyay.ini2
D:\WINDOWS\system32\tstBaccf.ini
D:\WINDOWS\system32\tstBaccf.ini2
D:\WINDOWS\system32\tvmnvbec.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-03 to 2008-07-03 ))))))))))))))))))))))))))))))))))))
.

2008-07-03 20:14 . 2008-07-03 20:14 <REP> d--hs---- D:\WINDOWS\system32\dllcache
2008-07-03 15:31 . 2008-07-03 15:33 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-03 15:18 . 2008-07-03 15:18 <REP> d-------- D:\Program Files\CCleaner
2008-07-02 20:10 . 2008-02-06 04:21 4,658,456 -ra------ D:\WINDOWS\system32\drivers\lvuvc.sys
2008-07-02 20:06 . 2008-07-02 20:10 <REP> d-------- D:\Program Files\Fichiers communs\LogiShrd
2008-07-02 20:04 . 2008-07-02 20:04 102,912 --a------ D:\WINDOWS\system32\xonrhnqn.dll
2008-07-02 20:01 . 2008-07-02 20:01 319,488 --a------ D:\WINDOWS\system32\fccaBtst.VIR
2008-07-02 19:54 . 2008-07-02 19:54 <REP> d-------- D:\Documents and Settings\Byleth\Application Data\Logitech
2008-07-02 19:44 . 2008-07-02 19:44 <REP> d-------- D:\Program Files\Fichiers communs\LogiShared
2008-07-02 19:44 . 2008-07-02 19:44 <REP> d-------- D:\Documents and Settings\Byleth\Application Data\Leadertech
2008-07-02 19:43 . 2008-07-02 19:43 0 --ah----- D:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2008-07-02 19:42 . 2007-04-11 15:33 1,419,024 --a------ D:\WINDOWS\system32\WdfCoInstaller01005.dll
2008-07-02 19:42 . 2007-04-11 15:32 56,080 --a------ D:\WINDOWS\KHALMNPR.Exe
2008-07-02 19:42 . 2007-04-11 15:32 36,112 --a------ D:\WINDOWS\system32\drivers\LMouFilt.Sys
2008-07-02 19:42 . 2007-04-11 15:32 34,832 --a------ D:\WINDOWS\system32\drivers\LHidFilt.Sys
2008-07-02 19:42 . 2007-04-11 15:33 28,688 --a------ D:\WINDOWS\system32\drivers\LUsbFilt.sys
2008-07-02 19:42 . 2008-07-02 19:42 0 --ah----- D:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-07-02 19:42 . 2008-07-02 19:42 0 --ah----- D:\WINDOWS\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2008-07-02 19:36 . 2008-07-02 19:36 <REP> d-------- D:\Documents and Settings\Byleth\Application Data\InstallShield
2008-07-02 19:36 . 2007-04-23 04:00 163,840 --a------ D:\WINDOWS\system32\kemutb.dll
2008-07-02 19:36 . 2007-04-23 04:00 135,168 --a------ D:\WINDOWS\system32\KemUtil.dll
2008-07-02 19:36 . 2007-04-23 04:00 110,592 --a------ D:\WINDOWS\system32\KemWnd.dll
2008-07-02 19:36 . 2007-04-23 04:00 69,632 --a------ D:\WINDOWS\system32\KemXML.dll
2008-07-02 11:22 . 2008-07-03 17:15 <REP> d-------- D:\Program Files\a-squared Free
2008-07-02 09:28 . 2008-07-02 09:28 81,408 --a------ D:\WINDOWS\system32\lgrwljcq.dll
2008-07-02 09:25 . 2008-07-02 09:25 110,415 --a------ D:\WINDOWS\BM63ff64f5.xml
2008-07-02 09:25 . 2008-07-02 09:25 103,424 --a------ D:\WINDOWS\system32\tcgoodtb.dll
2008-07-01 21:22 . 2008-07-01 21:22 318,976 --------- D:\WINDOWS\system32\yayvWppq.dll_old
2008-07-01 21:16 . 2008-07-01 21:16 <REP> d-------- D:\VundoFix Backups
2008-07-01 19:15 . 2008-07-01 19:15 <REP> d-------- D:\Program Files\Spybot - Search & Destroy
2008-07-01 19:15 . 2008-07-01 20:46 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-07-01 12:27 . 2008-07-01 12:29 28,891 --a------ D:\WINDOWS\scunin.dat
2008-07-01 12:26 . 2008-07-01 12:29 70,656 --a------ D:\WINDOWS\ScUnin.exe
2008-07-01 12:26 . 2008-07-01 12:29 967 --a------ D:\WINDOWS\ScUnin.pif
2008-07-01 12:25 . 2008-07-01 12:25 25,088 --a------ D:\WINDOWS\system32\vtUMEvUn.dll.vir
2008-07-01 12:25 . 2008-07-01 12:25 25,088 --a------ D:\WINDOWS\system32\qoMgDtro.dll
2008-06-27 12:38 . 2008-06-27 12:38 <REP> d-------- D:\Program Files\Hewlett-Packard
2008-06-27 12:36 . 2006-03-03 21:03 69,632 --a------ D:\WINDOWS\system32\HPZipm12.1
2008-06-27 12:35 . 2008-06-27 12:41 121,579 --a------ D:\WINDOWS\hpoins11.dat
2008-06-27 12:34 . 2006-05-06 06:15 6,947 --a------ D:\WINDOWS\hpomdl11.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 18:13 0 ----a-w D:\WINDOWS\system32\drivers\logiflt.iad
2008-07-03 15:14 --------- d-----w D:\Program Files\Fichiers communs\Wise Installation Wizard
2008-07-02 18:10 0 ----a-w D:\WINDOWS\system32\drivers\lvuvc.hs
2008-07-02 18:06 --------- d-----w D:\Program Files\Logitech
2008-07-02 18:06 --------- d-----w D:\Documents and Settings\All Users\Application Data\Logishrd
2008-07-02 17:51 --------- d-----w D:\Program Files\Fichiers communs\Logitech
2008-07-02 17:36 --------- d--h--w D:\Program Files\InstallShield Installation Information
2008-07-02 17:36 --------- d-----w D:\Documents and Settings\All Users\Application Data\Logitech
2008-07-01 19:37 --------- d-----w D:\Program Files\ma-config.com
2008-07-01 07:27 --------- d-----w D:\Program Files\Windows Live Safety Center
2008-06-19 22:57 --------- d-----w D:\Documents and Settings\Byleth\Application Data\teamspeak2
2008-06-14 21:33 --------- d-----w D:\Program Files\Navirad
2008-06-07 17:04 --------- d-----w D:\Documents and Settings\Byleth\Application Data\Sony
2008-06-07 14:40 --------- d-----w D:\Documents and Settings\Byleth\Application Data\Publish Providers
2008-05-23 17:26 --------- d-----w D:\Program Files\Avira
2008-05-23 17:26 --------- d-----w D:\Documents and Settings\All Users\Application Data\Avira
2008-04-23 11:58 4,608 ----a-w D:\WINDOWS\system32\BReWErS.dll
2005-08-16 19:14 121 ----a-w D:\WINDOWS\system32\config\systemprofile\user.bat
2005-08-16 19:14 121 ----a-w D:\Documents and Settings\Default User\user.bat
2005-08-16 19:14 121 ----a-w D:\Documents and Settings\Byleth\user.bat
.

------- Sigcheck -------

2004-12-10 23:44 359040 37e6643b1c4fb5de3a4fcef92909b4ad D:\WINDOWS\system32\drivers\tcpip.sys

2004-12-03 18:12 1036288 0e32ca931db10f6852ee25c7ccd4d8bf D:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="D:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]
"updateMgr"="D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"SpybotSD TeaTimer"="D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"LClock"="lclock.exe" [2004-12-08 18:06 65536 D:\WINDOWS\LClock.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"Launch LGDCore"="D:\Program Files\Logitech\G-series Software\LGDCore.exe" [2006-03-06 15:31 1122304]
"Launch LCDMon"="D:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 15:14 497152]
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"avgnt"="D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"LogitechCommunicationsManager"="D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 13:02 564496]
"LogitechQuickCamRibbon"="D:\Program Files\Logitech\QuickCam\Quickcam.exe" [2008-02-13 13:06 2196240]
"SoundMan"="SOUNDMAN.EXE" [2003-03-27 16:34 53248 D:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 D:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 02:54 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 11:54 282624 D:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2007-04-11 15:32 56080 D:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"IDriverT"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"D:\\Program Files\\MSN Messenger\\livecall.exe"=
"E:\\Jeux\\Hellgate\\Launcher.exe"=
"D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"D:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

R0 sojubus;sojubus;D:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 10:41]
R0 sojuscsi;sojuscsi;D:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 10:57]
R3 LVRS;Logitech RightSound Filter Driver;D:\WINDOWS\system32\DRIVERS\lvrs.sys [2008-02-06 04:20]
S3 PciCon;PciCon;F:\PciCon.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa4383c6-bdfe-11dc-bec6-00301bb2eb09}]
\Shell\AutoRun\command - I:\Setup.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-03-14 17:41:28 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- D:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
- - - - ORPHANS REMOVED - - - -

BHO-{5F034741-62BB-4CDB-83F0-1D016DB921BF} - (no file)
BHO-{CD408645-46B2-4788-8D71-21E891ED6E37} - (no file)
ShellExecuteHooks-{A260787B-911C-49A1-AE73-EC76A3CEC27E} - (no file)
Notify-AtiExtEvent - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 20:15:00
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\WINDOWS\system32\rundll32.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.exe
D:\Program Files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-03 20:16:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-03 18:16:16

Pre-Run: 6,539,448,320 octets libres
Post-Run: 6,474,473,472 octets libres

196



********************************************************************************************
********************************************************************************************

Rapport HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:32, on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Logitech\G-series Software\LGDCore.exe
D:\Program Files\Logitech\G-series Software\LCDMon.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDMedia.exe
D:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
D:\Program Files\Logitech\QuickCam\Quickcam.exe
D:\WINDOWS\lclock.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Logitech\SetPoint\SetPoint.exe
D:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
D:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\system32\notepad.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Byleth\Bureau\HiJackThis.exe
D:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lstard.stormcorp.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Program Files\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Program Files\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "D:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "D:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - S-1-5-18 Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - Startup: Enregistrement de produit Logitech.lnk = D:\Program Files\Fichiers communs\LogiShared\eReg\SetPoint\eReg.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = D:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Soft\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Soft\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{315D74C3-E114-484E-95AB-683DCF1C9F80}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - D:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: LVCOMSer - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - D:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
0
Réponse 15 / 15
Byleth
4 juil. 2008 à 17:52
Bonjour a tous,

Que puis je faire de plus concernant mon system et mes ... petits problèmes de culture?
0

Discussions similaires

Es que micromania accepte les chèque culture
Leo5926 -
durock -

7 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses