difficulté à supprimé trojan

Question

Bonjour,

Je n'arrive pas à supprimer un trojan (H:\WINDOWS\system32\urqNHBqN.dll).Avast me dit qu'il ne peut pas être supprimer, ni mis en quarantaine car il est utilisé par un autre processus...
Je n'ai pas réussi non-plus à supprimer "AppInit_DLLs: ejvyew.dll" avec Vundofix...comment me débarrasser de ces trojan?

Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:13, on 27/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\LEXBCES.EXE
H:\WINDOWS\system32\LEXPPS.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
H:\WINDOWS\system32
vsvc32.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\svchost.exe
I:\Program Files 2\qttask.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\WINDOWS\system32\Rundll32.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {76b88d65-28e6-1b0a-3594-1d3e21c29416} - {61492c12-e3d1-4953-a0b1-6e8256d88b67} - H:\WINDOWS\system32\ejvyew.dll
O2 - BHO: (no name) - {987BD18D-FC14-4826-AC22-91D5DF77256D} - H:\WINDOWS\system32\urqNHBqN.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files 2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [cc95a8f7] rundll32.exe "H:\WINDOWS\system32\oeqbymtb.dll",b
O4 - HKLM\..\Run: [000000af] rundll32.exe "H:\WINDOWS\system32\ywvabhaj.dll",b
O4 - HKLM\..\Run: [BM17676d61] Rundll32.exe "H:\WINDOWS\system32svlqglb.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: ejvyew.dll
O20 - Winlogon Notify: opnlMeEW - opnlMeEW.dll (file missing)
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - H:\WINDOWS\system32\aspimgr.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - H:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe

sKe69 · Answer

Salut,

Commences par ce-ci :

souligne>Télécharges VirtumundoBegone sur ton bureau</souligne>:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

!! Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

Postes le rapport VBG accompagné d'un nouveau rapport Hijackthis pour analyse ...

boule · Answer

Voilà le rapport VBG:

[08/27/2008, 21:00:49] - VirtumundoBeGone v1.5 ( "H:\Documents and Settings\camille\Bureau\VirtumundoBeGone.exe" )
[08/27/2008, 21:01:08] - Detected System Information:
[08/27/2008, 21:01:08] -  Windows Version: 5.1.2600, Service Pack 2
[08/27/2008, 21:01:08] -  Current Username: camille (Admin)
[08/27/2008, 21:01:08] -  Windows is in NORMAL mode.
[08/27/2008, 21:01:08] - Searching for Browser Helper Objects:
[08/27/2008, 21:01:08] -  BHO 1: {61492c12-e3d1-4953-a0b1-6e8256d88b67} ()
[08/27/2008, 21:01:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/27/2008, 21:01:08] -  Checking for HKLM\...\Winlogon\Notify\ejvyew
[08/27/2008, 21:01:08] -  Key not found: HKLM\...\Winlogon\Notify\ejvyew, continuing.
[08/27/2008, 21:01:08] -  BHO 2: {987BD18D-FC14-4826-AC22-91D5DF77256D} ()
[08/27/2008, 21:01:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/27/2008, 21:01:08] -  Checking for HKLM\...\Winlogon\Notify\urqNHBqN
[08/27/2008, 21:01:08] -  Key not found: HKLM\...\Winlogon\Notify\urqNHBqN, continuing.
[08/27/2008, 21:01:08] - Finished Searching Browser Helper Objects
[08/27/2008, 21:01:08] - Finishing up...
[08/27/2008, 21:01:08] - Nothing found! Exiting...

et le rapport hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:50:38, on 28/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\Explorer.EXE
I:\Program Files 2\qttask.exe
H:\WINDOWS\system32\LEXBCES.EXE
H:\WINDOWS\system32\LEXPPS.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\WINDOWS\system32\Rundll32.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\WINDOWS\system32
vsvc32.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {76b88d65-28e6-1b0a-3594-1d3e21c29416} - {61492c12-e3d1-4953-a0b1-6e8256d88b67} - H:\WINDOWS\system32\ejvyew.dll
O2 - BHO: (no name) - {987BD18D-FC14-4826-AC22-91D5DF77256D} - H:\WINDOWS\system32\urqNHBqN.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files 2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [cc95a8f7] rundll32.exe "H:\WINDOWS\system32\oeqbymtb.dll",b
O4 - HKLM\..\Run: [000000af] rundll32.exe "H:\WINDOWS\system32\ywvabhaj.dll",b
O4 - HKLM\..\Run: [BM17676d61] Rundll32.exe "H:\WINDOWS\system32svlqglb.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: ejvyew.dll
O20 - Winlogon Notify: opnlMeEW - opnlMeEW.dll (file missing)
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - H:\WINDOWS\system32\aspimgr.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - H:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe

sKe69 · Answer

Salut,

Bizard que VirtumundoBeGone n'est rien détecté ...

Soit , continues avec ce-ci :

Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! )  et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" . 
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

boule · Answer

Le rapport MalwareByte's:

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1090
Windows 5.1.2600 Service Pack 2

16:11:03 28/08/2008
mbam-log-08-28-2008 (16-11-03).txt

Type de recherche: Examen complet (H:\|I:\|J:\|)
Eléments examinés: 123745
Temps écoulé: 1 hour(s), 8 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 44

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
H:\WINDOWS\system32\ejvyew.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{61492c12-e3d1-4953-a0b1-6e8256d88b67} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{61492c12-e3d1-4953-a0b1-6e8256d88b67} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bab8ba2f-72a3-4951-a1fd-3fbee37d4b07} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm17676d61 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cc95a8f7 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000000af (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
H:\WINDOWS\system32\ejvyew.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32svlqglb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\Documents and Settings\camille\Local Settings\Temporary Internet Files\Content.IE5\C40G27DI\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\Documents and Settings\camille\Local Settings\Temporary Internet Files\Content.IE5\FX1ZZ50T\kb671231[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\Documents and Settings\camille\Local Settings\Temporary Internet Files\Content.IE5\IA2UM5O7\kb65666[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\Documents and Settings\camille\Local Settings\Temporary Internet Files\Content.IE5\IA2UM5O7\kb767887[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\VundoFix Backups\ejvyew.dll.bad (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\VundoFix Backups\ywvabhaj.dll.bad (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\buysdjlx.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\ckxbkdqw.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\ehqkvfoo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\erofmqdk.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\erufcj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\fanqbgut.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\gedkvchk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\gqipil.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\hlagblge.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\iihmmoyj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\iiwaiukk.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\ilrxsyfo.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\iwqiejbb.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\jtsvdwqv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32
ohlhhgh.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\ocvhvrde.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\omvrlbrr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\pftysjrd.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\psdyvxur.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\seldkmkv.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\sxvyflhh.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32	iiorhbt.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32	ocaxg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\uldphpxo.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\vfqhgy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\yihpttid.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\yusndiqt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\BM17676d61.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\BM17676d61.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\s32.txt (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\ws386.ini (Malware.Trace) -> Quarantined and deleted successfully.




Et  le hikjackthis:


H:\WINDOWS\system32\spoolsv.exe
I:\Program Files 2\qttask.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
H:\WINDOWS\system32
vsvc32.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {987BD18D-FC14-4826-AC22-91D5DF77256D} - H:\WINDOWS\system32\urqNHBqN.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files 2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: ejvyew.dll
O20 - Winlogon Notify: opnlMeEW - opnlMeEW.dll (file missing)
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - H:\WINDOWS\system32\aspimgr.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - H:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe

sKe69 · Answer

Ok ...

1- Supprime tout ce que Malwarebytes peut avoir en quarantaine ( via celle-ci bien sûr )


2- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



3- fais exactement se qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Attention : 
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire . 
--> si un message d'erreur windows apparait à un momment  : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

boule · Answer

Je n'ai pas encore fait le 3ème point de ta réponse avec combofix, mais j'ai une question.
Dans une page "astuces" du site, ils disent de le faire en mode sans echec...ce ne serait pas plus simple que de fermer toutes les applications en cours?

boule · Answer

Le rapport combofix: ComboFix 08-08-27.06 - camille 2008-08-28 19:04:09.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.615 [GMT 2:00] Endroit: H:\Documents and Settings\camille\Bureau\C-Fix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . H:\WINDOWS\g32.txt H:\WINDOWS\system32\anydryjl.ini H:\WINDOWS\system32\bajhgygo.ini H:\WINDOWS\system32\btmybqeo.ini H:\WINDOWS\system32\cglavvip.ini H:\WINDOWS\system32\cjiqcbpt.ini H:\WINDOWS\system32\cymntqha.ini H:\WINDOWS\system32\dkykatuo.ini H:\WINDOWS\system32\ekwmgilw.ini H:\WINDOWS\system32\fgemxmoh.ini H:\WINDOWS\system32\ghnlhvhc.ini H:\WINDOWS\system32\hertmrqq.ini H:\WINDOWS\system32\htnpxcmc.ini H:\WINDOWS\system32\hyvmsius.ini H:\WINDOWS\system32\iamhsewc.ini H:\WINDOWS\system32\ipprnhvq.ini H:\WINDOWS\system32\iqqgdlqp.ini H:\WINDOWS\system32\jahbavwy.ini H:\WINDOWS\system32\kjsvbnig.ini H:\WINDOWS\system32\klpglylg.ini H:\WINDOWS\system32\kyfmmcss.ini H:\WINDOWS\system32\mrdljpup.ini H:\WINDOWS\system32 hsjnxtt.ini H:\WINDOWS\system32 plgqadj.ini H:\WINDOWS\system32\NqBHNqru.ini H:\WINDOWS\system32\NqBHNqru.ini2 H:\WINDOWS\system32 tattcim.ini H:\WINDOWS\system32\oddycrxs.ini H:\WINDOWS\system32\oemewqdh.ini H:\WINDOWS\system32\oqjivpuc.ini H:\WINDOWS\system32\pgsrrlbj.ini H:\WINDOWS\system32\sqmfmsrs.ini H:\WINDOWS\system32\srckvxmp.ini H:\WINDOWS\system32\uqcolfbe.ini H:\WINDOWS\system32\vkwdgwld.ini H:\WINDOWS\system32\vnnybged.ini H:\WINDOWS\system32\vvugnqnq.ini H:\WINDOWS\system32\wgkdcjsj.ini H:\WINDOWS\system32\wsbunann.ini H:\WINDOWS\system32\wyfrpobj.ini H:\WINDOWS\system32\yvqevldr.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ASPIMGR -------\Service_aspimgr ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-28 to 2008-08-28 )))))))))))))))))))))))))))))))))))) . 2008-08-28 11:07 . 2008-08-28 11:07 d-------- H:\Program Files\Malwarebytes' Anti-Malware 2008-08-28 11:07 . 2008-08-28 11:07 d-------- H:\Documents and Settings\camille\Application Data\Malwarebytes 2008-08-28 11:07 . 2008-08-28 11:07 d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-28 11:07 . 2008-08-17 15:01 38,472 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-28 11:07 . 2008-08-17 15:01 17,144 --a------ H:\WINDOWS\system32\drivers\mbam.sys 2008-08-27 18:54 . 2008-08-27 19:41 d-------- H:\VundoFix Backups 2008-08-27 18:48 . 2008-08-27 18:48 d-------- H:\Program Files\Trend Micro 2008-08-05 16:48 . 2008-08-05 16:48 d-------- H:\Documents and Settings\camille\Application Data\Grisoft 2008-08-05 15:32 . 2008-08-05 15:32 d-------- H:\Documents and Settings\All Users\Application Data\Grisoft 2008-08-05 15:32 . 2007-05-30 14:10 10,872 --a------ H:\WINDOWS\system32\drivers\AvgAsCln.sys Le rapport Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:50:53, on 28/08/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe H:\Program Files\Alwil Software\Avast4\ashServ.exe H:\WINDOWS\system32\LEXBCES.EXE H:\WINDOWS\system32\LEXPPS.EXE H:\WINDOWS\system32\spoolsv.exe H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin SvcLog.exe H:\WINDOWS\system32 vsvc32.exe I:\Program Files 2\qttask.exe H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe H:\WINDOWS\system32\ctfmon.exe H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin SvcIp.exe H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe H:\Program Files\Alwil Software\Avast4\ashWebSv.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\wscntfy.exe H:\WINDOWS\explorer.exe H:\WINDOWS\system32 otepad.exe H:\WINDOWS\system32\NOTEPAD.EXE H:\Program Files\Mozilla Firefox\firefox.exe H:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files 2\qttask.exe" -atboottime O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O20 - AppInit_DLLs: ejvyew.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - H:\WINDOWS\system32\LEXBCES.EXE O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin SvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin SvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32 vsvc32.exe

sKe69 · Answer

Re,
 ton rapport combofix est incomplet ( erreur de copier/coller ^^ ) , peux tu me le reposter en entier ... merci =)

-edit-

il me le faut absoluement pour pouvoir continuer ! ;)

boule · Answer

Effectivement...le voilà:

ComboFix 08-08-27.06 - camille 2008-08-28 19:04:09.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.615 [GMT 2:00]
Endroit: H:\Documents and Settings\camille\Bureau\C-Fix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\WINDOWS\g32.txt
H:\WINDOWS\system32\anydryjl.ini
H:\WINDOWS\system32\bajhgygo.ini
H:\WINDOWS\system32\btmybqeo.ini
H:\WINDOWS\system32\cglavvip.ini
H:\WINDOWS\system32\cjiqcbpt.ini
H:\WINDOWS\system32\cymntqha.ini
H:\WINDOWS\system32\dkykatuo.ini
H:\WINDOWS\system32\ekwmgilw.ini
H:\WINDOWS\system32\fgemxmoh.ini
H:\WINDOWS\system32\ghnlhvhc.ini
H:\WINDOWS\system32\hertmrqq.ini
H:\WINDOWS\system32\htnpxcmc.ini
H:\WINDOWS\system32\hyvmsius.ini
H:\WINDOWS\system32\iamhsewc.ini
H:\WINDOWS\system32\ipprnhvq.ini
H:\WINDOWS\system32\iqqgdlqp.ini
H:\WINDOWS\system32\jahbavwy.ini
H:\WINDOWS\system32\kjsvbnig.ini
H:\WINDOWS\system32\klpglylg.ini
H:\WINDOWS\system32\kyfmmcss.ini
H:\WINDOWS\system32\mrdljpup.ini
H:\WINDOWS\system32\nhsjnxtt.ini
H:\WINDOWS\system32\nplgqadj.ini
H:\WINDOWS\system32\NqBHNqru.ini
H:\WINDOWS\system32\NqBHNqru.ini2
H:\WINDOWS\system32\ntattcim.ini
H:\WINDOWS\system32\oddycrxs.ini
H:\WINDOWS\system32\oemewqdh.ini
H:\WINDOWS\system32\oqjivpuc.ini
H:\WINDOWS\system32\pgsrrlbj.ini
H:\WINDOWS\system32\sqmfmsrs.ini
H:\WINDOWS\system32\srckvxmp.ini
H:\WINDOWS\system32\uqcolfbe.ini
H:\WINDOWS\system32\vkwdgwld.ini
H:\WINDOWS\system32\vnnybged.ini
H:\WINDOWS\system32\vvugnqnq.ini
H:\WINDOWS\system32\wgkdcjsj.ini
H:\WINDOWS\system32\wsbunann.ini
H:\WINDOWS\system32\wyfrpobj.ini
H:\WINDOWS\system32\yvqevldr.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASPIMGR
-------\Service_aspimgr

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-28 to 2008-08-28 ))))))))))))))))))))))))))))))))))))
.

2008-08-28 11:07 . 2008-08-28 11:07 <REP> d-------- H:\Program Files\Malwarebytes' Anti-Malware
2008-08-28 11:07 . 2008-08-28 11:07 <REP> d-------- H:\Documents and Settings\camille\Application Data\Malwarebytes
2008-08-28 11:07 . 2008-08-28 11:07 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-28 11:07 . 2008-08-17 15:01 38,472 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 11:07 . 2008-08-17 15:01 17,144 --a------ H:\WINDOWS\system32\drivers\mbam.sys
2008-08-27 18:54 . 2008-08-27 19:41 <REP> d-------- H:\VundoFix Backups
2008-08-27 18:48 . 2008-08-27 18:48 <REP> d-------- H:\Program Files\Trend Micro
2008-08-05 16:48 . 2008-08-05 16:48 <REP> d-------- H:\Documents and Settings\camille\Application Data\Grisoft
2008-08-05 15:32 . 2008-08-05 15:32 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-05 15:32 . 2007-05-30 14:10 10,872 --a------ H:\WINDOWS\system32\drivers\AvgAsCln.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-20 12:22 --------- d-----w H:\Program Files\Mozilla Thunderbird
2008-08-19 14:44 --------- d-----w H:\Documents and Settings\camille\Application Data\Azureus
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="H:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="H:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"QuickTime Task"="I:\Program Files 2\qttask.exe" [2007-02-16 10:54 282624]
"!AVG Anti-Spyware"="H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=ejvyew.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 H:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 16:09 15360 H:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hercules DJ Series]
--a------ 2008-02-20 01:05 476456 H:\Program Files\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 H:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-31 08:35 7634944 H:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-31 08:35 86016 H:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 10:54 282624 I:\Program Files 2\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sunkist2k]
--a------ 2004-12-10 11:49 139264 H:\Program Files\Multimedia Card Reader\shwicon2k.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-01-02 12:33 185896 H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-ra------ 2005-05-03 12:43 69632 H:\WINDOWS\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-31 08:35 1622016 H:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-ra------ 2006-08-01 13:10 16049664 H:\WINDOWS\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 12:04 2879488 H:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"H:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"H:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"H:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"I:\\Azureus\\Azureus.exe"=
"H:\\Program Files\\Messenger\\msmsgs.exe"=
"H:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"H:\\Program Files\\MSN Messenger\\livecall.exe"=
"I:\\Program Files 2\\ABC\\abc.exe"=
"H:\\Program Files\\Mozilla Firefox\\firefox.exe"=

R1 aswSP;avast! Self Protection;H:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;H:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
S3 Bulk;HDJBulk;H:\WINDOWS\system32\Drivers\HDJBulk.sys [2008-01-23 11:24]
S3 HDJAsioK;HDJAsioK;H:\WINDOWS\system32\Drivers\HDJAsioK.sys [2008-02-22 17:19]
S3 HDJMidi;Hercules DJ Console MIDI;H:\WINDOWS\system32\DRIVERS\HDJMidi.sys [2008-01-29 09:39]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\stub.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-07-28 H:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- H:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 15:42]
.
- - - - ORPHANS REMOVED - - - -

BHO-{987BD18D-FC14-4826-AC22-91D5DF77256D} - (no file)
Notify-opnlMeEW - opnlMeEW.dll
MSConfigStartUp-000000af - H:\WINDOWS\system32\micttatn.dll
MSConfigStartUp-BM17676d61 - H:\WINDOWS\system32\xqpoancj.dll
MSConfigStartUp-buritos - buritos.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - H:\Documents and Settings\camille\Application Data\Mozilla\Firefox\Profiles\rwnfr2z3.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 19:07:17
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\LEXBCES.EXE
H:\WINDOWS\system32\LEXPPS.EXE
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\Program Files\Alwil Software\Avast4\Setup\avast.setup
H:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-28 19:09:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-28 17:09:44

Pre-Run: 2,102,763,520 octets libres
Post-Run: 1,968,635,904 octets libres

196

sKe69 · Answer

Bien .... la suite :

1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

Registry:: 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=-

Folder:: 
H:\VundoFix Backups 


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

boule · Answer

Je n'ai plus l'icone d'avast dans la barre des tâches (alors que l'option est selectionnée).Son absence ne signifie pas qu'il est desactivé non? Et quand je vais dans panneau de config' --> centre de sécurité, il me dit qu'il est activé...alors comment vérifier ?

Au passage merci pour toutes ces réponses rapides :-)

sKe69 · Answer

1er chose , postes moi le les dernier rapport demander stp ... ^^

Puis pour Avast :

vas dans "C:\program files", puis recherche le dossier "alwil" (Avast) .
Tu rentres dedans et recherches " ashDisp.exe " -> tu cliques dessus ---> l´icone d´avast devrait réaparaitre ...

boule · Answer

Euh voilà avant de continuer, j'ai eu un petit problème. Je précise qu'hier soir je n'ai pas fait la dernière étape du nettoyage.J'ai juste copier le texte dans un fichier nommé CFScript mais rie d'autre.Je ne l'ai pas glisser sur l'icôneCombofix.exe.
Ce matin en allumant le pc, après l'écran windows XP: ecran noir! J'ai cru qu'il ne voulait pas démarrer mais bout de quelques minutes il s'est mis à charger et maintenant il est ok.
Est-ce que ce démarrage extremement long a un lien avec les operations faites avant ou est-ce juste un bug de windows?

sKe69 · Answer

Salut,

tu es encore infecté tant que tu ne fais pas tout ce-ci : 
http://www.commentcamarche.net/forum/affich 8116920 difficulte a supprime trojan#11

^^'

Donc j'attends les résultats ....

boule · Answer

nouveau rapport combofix:
ComboFix 08-08-27.06 - camille 2008-08-29 12:50:35.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.605 [GMT 2:00]
Endroit: H:\Documents and Settings\camille\Bureau\C-Fix.exe
Command switches used :: H:\Documents and Settings\camille\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\VundoFix Backups
H:\VundoFix Backups\addmorefiles.txt

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-28 to 2008-08-29 ))))))))))))))))))))))))))))))))))))
.

2008-08-28 11:07 . 2008-08-28 11:07 <REP> d-------- H:\Program Files\Malwarebytes' Anti-Malware
2008-08-28 11:07 . 2008-08-28 11:07 <REP> d-------- H:\Documents and Settings\camille\Application Data\Malwarebytes
2008-08-28 11:07 . 2008-08-28 11:07 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-28 11:07 . 2008-08-17 15:01 38,472 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 11:07 . 2008-08-17 15:01 17,144 --a------ H:\WINDOWS\system32\drivers\mbam.sys
2008-08-27 18:48 . 2008-08-27 18:48 <REP> d-------- H:\Program Files\Trend Micro
2008-08-05 16:48 . 2008-08-05 16:48 <REP> d-------- H:\Documents and Settings\camille\Application Data\Grisoft
2008-08-05 15:32 . 2008-08-05 15:32 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-05 15:32 . 2007-05-30 14:10 10,872 --a------ H:\WINDOWS\system32\drivers\AvgAsCln.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-20 12:22 --------- d-----w H:\Program Files\Mozilla Thunderbird
2008-08-19 14:44 --------- d-----w H:\Documents and Settings\camille\Application Data\Azureus
.

((((((((((((((((((((((((((((( snapshot@2008-08-28_19.09.25.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-29 10:40:14 16,384 ----atw H:\WINDOWS\Temp\Perflib_Perfdata_620.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="H:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="H:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"QuickTime Task"="I:\Program Files 2\qttask.exe" [2007-02-16 10:54 282624]
"!AVG Anti-Spyware"="H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 H:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 16:09 15360 H:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hercules DJ Series]
--a------ 2008-02-20 01:05 476456 H:\Program Files\Hercules\Audio\DJ Console Series\HDJSeriesCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 H:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-10-31 08:35 7634944 H:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-31 08:35 86016 H:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 10:54 282624 I:\Program Files 2\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sunkist2k]
--a------ 2004-12-10 11:49 139264 H:\Program Files\Multimedia Card Reader\shwicon2k.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-01-02 12:33 185896 H:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-ra------ 2005-05-03 12:43 69632 H:\WINDOWS\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-31 08:35 1622016 H:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-ra------ 2006-08-01 13:10 16049664 H:\WINDOWS\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 12:04 2879488 H:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"H:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"H:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"H:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"I:\\Azureus\\Azureus.exe"=
"H:\\Program Files\\Messenger\\msmsgs.exe"=
"H:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"H:\\Program Files\\MSN Messenger\\livecall.exe"=
"I:\\Program Files 2\\ABC\\abc.exe"=
"H:\\Program Files\\Mozilla Firefox\\firefox.exe"=

R1 aswSP;avast! Self Protection;H:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;H:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
S3 Bulk;HDJBulk;H:\WINDOWS\system32\Drivers\HDJBulk.sys [2008-01-23 11:24]
S3 HDJAsioK;HDJAsioK;H:\WINDOWS\system32\Drivers\HDJAsioK.sys [2008-02-22 17:19]
S3 HDJMidi;Hercules DJ Console MIDI;H:\WINDOWS\system32\DRIVERS\HDJMidi.sys [2008-01-29 09:39]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\stub.exe

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-07-28 H:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- H:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 15:42]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 12:52:00
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-29 12:52:40
ComboFix-quarantined-files.txt 2008-08-29 10:52:37
ComboFix2.txt 2008-08-28 17:09:50

Pre-Run: 1,935,462,400 octets libres
Post-Run: 1,925,083,136 octets libres

126

Rapport Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:26, on 29/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
I:\Program Files 2\qttask.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\system32\LEXBCES.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\LEXPPS.EXE
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wscntfy.exe
H:\Program Files\Alwil Software\Avast4\ashDisp.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\explorer.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files 2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - H:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe

sKe69 · Answer

Très bien ...

--> refais un coup de CCleaner ( registre compris ) . Redémarres ton PC ...

-> maintenant , dis moi comment va le PC .... encore des soucis ? 

ensuite on finit de nettoyer dans les coins et on finalise ...

boule · Answer

Tout à l'air Ok pour le PC.
J'ai plusieurs fichiers mis en quarantaine avec avast et avg, je les supprime?

sKe69 · Answer

J'ai plusieurs fichiers mis en quarantaine avec avast et avg, je les supprime? --> oui ! Une dernière vérif et on passe à la finalisation : 1- souligne>Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. http://pc-system.fr/ Déconnectes toi et fermes bien toutes tes applications en cours . Lances le . *Cliques sur Recherche et laisses le scan se terminer (cela peut être long). *Cliques sur Suppression pour finaliser. *Tu peux, si tu le souhaites, te servir des Options facultatives *Click sur "quitter" pour générer un rapport : ---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . ( guardes CCleaner et Malwarebytes : très utiles ) 2- refais un coup de CCleaner ( registre compris ) . 3- Retélécharge et ré-installes Hijackthis ( car supprimé par ToolsCleaner2 ), Télécharges et installes le logiciel HijackThis : ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html -> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . ( ne fais pas de scan pour le momment ) 4- Restauration système *Désactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC *Réactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC 5- fais ce dernier scan en ligne : Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...). - On va te demander de télécharger un contôle active x, accepte . - Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer. - Postes le rapport qui sera généré stp. S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 Rappel : le scan est à faire sous Internet Explorer !

boule · Answer

je n'arrive pas à publier le message avec le rapport kapersky (j'envoie mais rien n'est posté)

boule · Answer

non rien n'est infecté, tout à l'air ok ;-)

sKe69 · Answer

bien alors on continue ( dès que tu peux , postes moi le ... ) .

Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* pour la console Java :
aller sur : Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > "Mettre à jour maintenant" > cocher la case "Automatiser la détection des mises à jour".
( puis désinstalles les versions antérieurs via "paneau de configuration" et "ajout/suppression de prg" ...)
-> si tu ne trouves pas l' icône Java : 
Désinstalles les version antérieurs, puis télécharges et installes la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment

*Internet Exploreur :
Même si tu utilise un autre Navigateur , il faut tenir IE à jours ! ( sinon faille de sécurité ) .
->Télécharges le ici : http://www.commentcamarche.net/telecharger/telecharger 220 internet explorer
ou ici : https://support.microsoft.com/fr-fr/allproducts
ou ici : http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

->Avant de lancer l'installe d' IE, c'est important : désactives tes défences et déconnecte toi d'internet !

->Pourquoi mettre à jours IE et tuto ici :
https://forum.malekal.com/viewtopic.php?f=45&t=12405


--> une fois cela fait , postes moi un nouvel hijackthis pour contrôler et attends la suite ...

boule · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:43, on 29/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\LEXBCES.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\LEXPPS.EXE
I:\Program Files 2\qttask.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
H:\WINDOWS\system32
vsvc32.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wscntfy.exe
H:\Program Files\Alwil Software\Avast4\ashDisp.exe
H:\Program Files\MSN Messenger\msnmsgr.exe
H:\WINDOWS\system32\msiexec.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files 2\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - H:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - H:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe

boule · Answer

je n'ai pas installer IE7 car ma version windows n'est pas authentique...

sKe69 · Answer

bon ... suite et fin ... dans l'ordre :

1- Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 

O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files 2\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" 
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing) 
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe (file missing)

Tu cliques en bas sur le bouton FIX CHECKED et valides .


Si et seulement si tu n'as plus de problème , fais ce qui suit:

2-Déconnectes toi et fermes bien toutes tes applications en cours .

Lances ToolsCleaner2 . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

Puis enfin supprimes Toolscleaner2 ... 


3- Refais un coup de CCleaner ( registre compris ) 


4- Fais ce check up fort nécessaire :

( étape A à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) ) 

A-Restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 

Attention : ne pas toucher au PC pendant qu'il travaille !

B-Nettoyage et Défragmentation de tes Disques 
*Nettoyage : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" 
Cliques sur le bouton "nettoyage de disque", OK 
tu le fais pour chacun de tes disques 

*Vérifications des erreurs : 
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" 
"Vérifier maintenant", une boîte s'ouvre, cocher les cases : 
-réparer automatiquement les erreurs... 
-rechercher et tenter une récupération... 
--->Démarrer, ok 
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal 
tu le fais pour chacun de tes disques 

ensuite toujours dans le même onglet tu choisis : 
*Défragmentation : 
"défragmenter maintenant", OK 
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK 
tu le fais pour chacun de tes disques 


--> une fois cela terminé , dis moi comment cela c'est passé ...=)

boule · Answer

Juste pour dire que je m'absente les temps du week-end et que je ferai donc ces manips lundi ou mardi ;-)

boule · Answer

Alors alors..
Tout s'est bien passé sauf que je n'ai pas fait de nettoyage sur le disque C car j'ai commencé par l'autre disque et vu le temps que ça a mis, je n'ai pas eu le courage d'en faire autant avec le C! 
Pour la défragmentation, pareil, je ne l'ai pas faite sur le C car l'ordi n'a pas pu: le disque est trop plein et il n'y avait pas assez d'espace libre pour qu'il puisse le faire.
Je vais donc remettre de l'ordre sur ce disque!

Quelques recommandations sinon?
En tout cas un grand merci pour toute l'aide apportée à ce PC (il en avait bien besoin!).

sKe69 · Answer

Salut,

Content d'avoir pu te rendre service ... ^^

Sachec qu'avec une version de Windows non officielle , tu es beaucoup plus exposé ... Donc fais gaff sur le net et avec le téléchargement ...

potasses ceci :

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation par exemple ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit ) , tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/



* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) :
 https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

=================================================================
=> Rappel sur les principales causes d'infection : 

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

->Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
https://lexpansion.lexpress.fr/actualite-economique/ 

* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
->https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
->autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

=================================================================
( merci le sioux )


Voilà ...

Bonne continuation à toi ... =)


A+

Difficulté à supprimé trojan

27 réponses

Votre réponse

Discussions similaires

Newsletters