Trojan:Win32/Vundo.gen!P Résolu/Fermé

Question

Bonjour,
Je viens de détecter avec Windows Defender ce cheval de Troie! Il se trouve que sur Frostwire j'ai 26507 fichiers partagés alos que je n'ai télécharger qu'une dizaine de musique. Comment me débarrasser de ce Virus? Pouvez vous m'adez s'il vous plait???

Jef · Answer

Apparement c'est un virus qui se renouvelle automatiquement en changeant de nom a chaque fois (d'ou l'extension " .gen " ) le reperez est assez facile (grâce aux analyse) , il debute toujours par WIN32 et se termine par .gen ceci dit il vous suffit de vous rendre sous windows defender et de faire une analyse il retrouveras les fichiers infectées, puis apres une mise une mise en quarantaine (si disponible) il vous suffit de le supprimer.

Aprés cette action: - Relancer une nouvelle fois window defender (pour verifier s'il l'as supprimer totalement)

                           - et lancer une analyse complete de votre systeme via votre anti-virus en meme temp.


Normalement tout devrais etre OK 


En esperant avoir pu vous aidez

totobetourne · Answer

commence par cela meme si les pubs disparaissent cela ne veut pas dire que l infection est enlevee.

Telecharges malwares bytes anti malwares :

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm 
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

Darstalyer · Answer

Merci! Je vais essayer ta manip & jte poste ce que windows defender m'affiche

totobetourne · Answer

montre moi le rapport dans l onglet rapport de malwarebyte pour voir ce qu il a supprime.il faut montrer les rapports sans eux on ne sait pas si c est vraiment supprime.

ensuite fais cela pour voir si il n y aurait pas autre chose.
telecharge cela:util pour voir ce que peut etre l infection et agir ensuite.

http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

installe le normallement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.
parfois alerte comme quoi, sans la fonction administrateur le rapport ne peut pas etre complet .
a ce moment relance hijack avec un clique droit sur le raccourci et executer en tant qu administrateur.

g!rly · Answer

Salut, 

je m´incruste...

darkstayer, 

tu es encore infecté

passe ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

+ un nouveau rapport hijack this stp

@+

g!rly · Answer

salut, 
il faut que tu post le rapport de combofix egalement
@+

Darkstayer · Answer

ComboFix a été efficace, voici le (long ) rapport obtenu: ComboFix 08-10-19.04 - Administrateur 2008-10-23 13:13:43.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.608 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Temp\1cb C:\Temp\1cb\syscheck.log C:\WINDOWS\Downloaded Program Files\setup.inf C:\WINDOWS\Fonts\a.zip C:\WINDOWS\system32\bbnwomou.exe C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\osxmlcie.dll C:\WINDOWS\system32\pguxjilu.dll C:\WINDOWS\system32\tfrrfg.dll C:\WINDOWS\system32\yffyca.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-23 au 2008-10-23 )))))))))))))))))))))))))))))))))))) . 2008-10-22 18:03 . 2008-10-23 11:46 734,641,774 --a------ C:\ALIENS VS PREDATOR REQUIEM 2008 FRENCH.avi 2008-10-22 15:42 . 2008-10-22 20:09 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-22 15:42 . 2008-10-22 15:42 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-22 15:42 . 2008-10-22 15:42 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-10-22 15:42 . 2008-10-16 20:25 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-22 15:42 . 2008-10-16 20:25 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-22 14:12 . 2008-10-22 14:12 d-------- C:\VundoFix Backups 2008-10-22 14:10 . 2008-10-22 14:10 d-------- C:\Program Files\Trend Micro 2008-10-21 16:15 . 2008-10-21 21:48 735,684,608 --a------ C:\Le.Silence.des.Agneaux.[divx.francais.franais.french.dvd.rip.SBC](par.Origan.et.MaxoOo).teste.divxovore.com.avi 2008-10-21 15:12 . 2008-10-21 15:12 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll 2008-10-21 15:05 . 2008-10-22 16:16 d-------- C:\WINDOWS\system32\xp2 2008-10-21 15:05 . 2008-10-22 16:16 d-------- C:\WINDOWS\system32\vm 2008-10-21 15:05 . 2008-10-21 15:05 d-------- C:\WINDOWS\system32\mci 2008-10-21 15:05 . 2008-10-21 15:05 d-------- C:\WINDOWS\system32\EV02 2008-10-21 15:05 . 2008-10-21 15:05 d-------- C:\Temp\xp34 2008-10-21 15:05 . 2008-10-23 13:13 d-------- C:\Temp 2008-10-21 15:05 . 2008-10-21 15:05 64,859 --a------ C:\WINDOWS\system32\ftfnqacjghpar.exe 2008-10-21 15:05 . 2008-10-21 15:05 355 --a------ C:\205.bat 2008-10-21 14:46 . 2008-10-21 14:46 d-------- C:\Program Files\Easy Video Converter 2008-10-20 23:10 . 2008-10-20 23:10 143,176,980 --a------ C:\flaskOut.avi 2008-10-20 23:07 . 2008-10-20 23:07 d-------- C:\Program Files\FlasKMPEG 2008-10-17 00:03 . 2008-10-17 00:03 d-------- C:\Documents and Settings\Administrateur\Application Data\skypePM 2008-10-17 00:03 . 2008-10-17 00:03 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat 2008-10-17 00:02 . 2008-10-17 00:02 d-------- C:\Program Files\Skype 2008-10-17 00:02 . 2008-10-17 00:02 d-------- C:\Program Files\Fichiers communs\Skype 2008-10-17 00:02 . 2008-10-17 00:02 d-------- C:\Documents and Settings\All Users\Application Data\Skype 2008-10-17 00:02 . 2008-10-23 13:12 d-------- C:\Documents and Settings\Administrateur\Application Data\Skype 2008-10-16 11:29 . 2008-08-14 15:44 2,182,400 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2008-10-16 11:29 . 2008-08-14 15:44 2,138,112 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe 2008-10-16 11:29 . 2008-08-14 15:44 2,059,776 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2008-10-16 11:29 . 2008-08-14 15:44 2,017,792 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe 2008-10-16 11:29 . 2008-09-15 17:14 1,847,040 --------- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-16 11:29 . 2008-08-28 12:35 333,056 --------- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-15 13:38 . 2008-10-20 23:07 d-------- C:\Program Files\VirtualDubMOD 2008-10-15 00:18 . 2008-10-23 10:23 d-------- C:\WINDOWS\system32\CatRoot_bak 2008-10-14 16:05 . 2008-10-14 16:05 d-------- C:\Documents and Settings\Administrateur\Application Data\Nero 2008-10-13 19:17 . 2008-10-20 22:06 d-------- C:\Documents and Settings\Administrateur\Application Data\dvdcss 2008-10-11 02:28 . 2008-10-11 02:28 d-------- C:\WINDOWS\Sun 2008-10-11 01:36 . 2008-10-11 01:38 d-------- C:\Documents and Settings\Administrateur\Application Data\vlc 2008-10-11 01:33 . 2008-10-11 01:33 d-------- C:\Program Files\VideoLAN 2008-10-10 18:45 . 2008-10-10 18:45 d-------- C:\Documents and Settings\Administrateur\Application Data\ACD Systems 2008-10-10 18:14 . 2006-10-04 16:06 1,197,294 --------- C:\WINDOWS\system32\dllcache\sysmain.sdb 2008-10-10 18:14 . 2006-10-04 16:06 764,868 --------- C:\WINDOWS\system32\dllcache\apph_sp.sdb 2008-10-10 18:14 . 2006-10-04 16:06 217,118 --------- C:\WINDOWS\system32\dllcache\apphelp.sdb 2008-10-10 18:12 . 2008-10-10 18:13 d-------- C:\d3f79257e726d35b1b1637c6 2008-10-10 18:12 . 2007-12-18 04:04 2,450,944 --a------ C:\WINDOWS\system32\OLD1C.tmp 2008-10-05 15:49 . 2008-10-05 15:49 d-------- C:\Program Files\iTunes 2008-10-05 15:49 . 2008-10-05 15:49 d-------- C:\Program Files\iPod 2008-10-05 15:49 . 2008-10-05 15:49 d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-05 15:49 . 2008-04-17 13:12 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll 2008-10-05 15:49 . 2008-04-17 13:12 15,464 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys 2008-10-05 14:22 . 2008-10-05 14:22 d-------- C:\WINDOWS\system32\xircom 2008-10-05 14:22 . 2008-10-05 14:22 d-------- C:\Program Files\microsoft frontpage 2008-10-05 14:22 . 2004-08-19 16:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-10-05 14:08 . 2008-10-05 14:08 d-------- C:\WINDOWS\ServicePackFiles 2008-10-05 14:05 . 2008-10-05 14:10 d-------- C:\WINDOWS\EHome 2008-10-05 14:05 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\[u]0/u00001_.tmp 2008-10-05 13:59 . 2008-10-05 13:59 d--hs---- C:\WINDOWS\ftpcache 2008-10-05 13:59 . 2008-10-05 13:59 d-------- C:\Program Files\Free 2008-10-05 01:02 . 2008-10-05 01:02 d-------- C:\Documents and Settings\Administrateur\Application Data\Lavasoft 2008-10-05 00:16 . 2008-10-05 00:16 d-------- C:\Documents and Settings\Administrateur\Application Data\Media Player Classic 2008-10-05 00:01 . 2008-10-22 19:58 d-------- C:\Program Files\eMule 2008-10-04 14:13 . 2008-10-04 14:13 d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2008-10-04 14:12 . 2008-10-04 14:12 d-------- C:\Program Files\Fichiers communs\Apple 2008-10-04 14:12 . 2008-10-04 14:12 d-------- C:\Program Files\Bonjour 2008-10-04 14:12 . 2008-10-04 14:12 d-------- C:\Program Files\Apple Software Update 2008-10-04 14:12 . 2008-10-04 14:12 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2008-10-04 13:45 . 2008-10-04 13:45 d-------- C:\Program Files\Java 2008-10-04 13:45 . 2008-10-04 13:45 d-------- C:\Program Files\Fichiers communs\Java 2008-10-04 13:45 . 2008-10-23 12:10 d-------- C:\Documents and Settings\Administrateur\Application Data\FrostWire 2008-10-04 13:45 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-10-04 13:43 . 2008-10-21 15:14 d-------- C:\Program Files\FrostWire 2008-10-04 13:37 . 2008-10-20 12:42 d-------- C:\Documents and Settings\Administrateur\Contacts 2008-10-03 22:14 . 2004-08-04 02:39 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2008-10-03 22:12 . 2004-08-04 02:54 77,312 --a------ C:\WINDOWS\system32\usbui.dll 2008-10-03 22:12 . 2004-08-04 01:07 14,080 --a------ C:\WINDOWS\system32\drivers\CmBatt.sys 2008-10-03 22:12 . 2001-08-17 23:57 14,080 --a------ C:\WINDOWS\system32\drivers\battc.sys 2008-10-03 22:12 . 2001-08-17 23:58 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys 2008-10-03 22:12 . 2004-08-04 01:07 8,832 --a------ C:\WINDOWS\system32\drivers\wmiacpi.sys 2008-10-03 22:11 . 2008-10-10 18:14 1,118,814 --a------ C:\WINDOWS\system32\PerfStringBackup.INI 2008-10-03 22:11 . 2008-10-03 20:42 4,512 --a------ C:\WINDOWS\imsins.BAK 2008-10-03 22:11 . 2008-10-03 20:20 4,205 --a------ C:\WINDOWS\ODBCINST.INI 2008-10-03 22:10 . 2008-10-03 22:10 d--h----- C:\Documents and Settings\Default User\Voisinage réseau 2008-10-03 22:10 . 2008-10-03 22:10 d--h----- C:\Documents and Settings\Default User\Voisinage d'impression 2008-10-03 22:10 . 2008-10-03 20:17 d--h----- C:\Documents and Settings\Default User\Modèles 2008-10-03 22:10 . 2008-10-03 22:10 d-------- C:\Documents and Settings\Default User\Mes documents 2008-10-03 22:10 . 2006-10-30 01:40 d-------- C:\Documents and Settings\Default User\Menu Démarrer 2008-10-03 22:10 . 2007-11-19 01:40 dr------- C:\Documents and Settings\Default User\Favoris 2008-10-03 22:10 . 2008-10-03 22:10 d-------- C:\Documents and Settings\Default User\Bureau 2008-10-03 22:10 . 2008-10-03 22:10 d--h----- C:\Documents and Settings\All Users\Modèles 2008-10-03 22:10 . 2008-10-22 14:35 d-------- C:\Documents and Settings\All Users\Menu Démarrer 2008-10-03 22:10 . 2007-11-19 01:40 dr------- C:\Documents and Settings\All Users\Favoris 2008-10-03 22:10 . 2008-10-05 15:41 dr------- C:\Documents and Settings\All Users\Documents 2008-10-03 22:10 . 2008-10-22 15:42 d-------- C:\Documents and Settings\All Users\Bureau 2008-10-03 22:09 . 2008-10-23 12:46 d-------- C:\WINDOWS\system32\CatRoot2 2008-10-03 22:09 . 2008-10-23 10:23 d-------- C:\WINDOWS\system32\CatRoot 2008-10-03 22:09 . 2008-10-03 20:41 d-------- C:\Documents and Settings\Default User 2008-10-03 22:09 . 2006-11-18 13:48 d-------- C:\Documents and Settings\All Users 2008-10-03 22:09 . 2008-10-03 20:54 d-------- C:\Documents and Settings 2008-10-03 22:08 . 2008-10-03 20:42 1,748 --a------ C:\WINDOWS\system32\$winnt$.inf . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-04 23:03 --------- d-----w C:\Program Files\Ad-Aware 2008-10-04 12:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-10-04 12:12 --------- d-----w C:\Program Files\QT Lite 2008-10-03 19:54 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Application Data\Intel 2008-10-03 19:54 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\Intel 2008-10-03 19:54 --------- d-----w C:\Documents and Settings\LocalService\Application Data\Intel 2008-10-03 19:54 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Intel 2008-10-03 19:53 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-10-03 19:53 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_HpqKbFiltr_01005.Wdf 2008-10-03 19:53 --------- d-----w C:\Program Files\Intel 2008-10-03 19:53 --------- d-----w C:\Program Files\Fichiers communs\Intel 2008-10-03 19:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Intel 2008-10-03 19:52 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-10-03 19:52 --------- d-----w C:\Program Files\Hewlett-Packard 2008-10-03 19:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-10-03 19:47 --------- d-----w C:\Program Files\Synaptics 2008-10-03 19:47 --------- d-----w C:\Program Files\Microsoft Works 2008-10-03 19:47 --------- d-----w C:\Program Files\HP Wireless Laser Mini Mouse 2008-10-03 19:46 --------- d-----w C:\Program Files\MSBuild 2008-10-03 19:45 --------- d-----w C:\Program Files\Microsoft.NET 2008-10-03 19:44 --------- d-----w C:\Program Files\SuperCopier2 2008-10-03 19:42 --------- d-----w C:\Program Files\Microsoft Visual Studio 8 2008-10-03 19:42 --------- d-----w C:\Program Files\HP DVB-T TV Tuner 2008-10-03 19:39 --------- d-----w C:\Program Files\HP Optical USB Mobile Mouse 2008-10-03 19:36 --------- d-----w C:\Program Files\Broadcom 2008-10-03 19:36 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\InstallShield 2008-10-03 19:35 --------- d-----w C:\Program Files\NetWaiting 2008-10-03 19:35 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-10-03 19:35 --------- d-----w C:\Program Files\CONEXANT 2008-10-03 19:34 --------- d-----w C:\Program Files\HP 1.3MP Webcam 2008-10-03 19:34 --------- d-----w C:\Program Files\DIFX 2008-10-03 19:32 --------- d-----w C:\Program Files\HP Analog TV Tuner 2008-10-03 19:30 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Xentient 2008-10-03 19:29 --------- d-----w C:\Program Files\ma-config.com 2008-10-03 19:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\ma-config.com 2008-10-03 19:26 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Talkback 2008-10-03 19:25 --------- d-----w C:\Program Files\HP 2008-10-03 19:03 --------- d-----w C:\Program Files\Styler 2008-10-03 19:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\nView_Profiles 2008-10-03 19:03 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Styler 2008-10-03 19:00 --------- d-----w C:\Program Files\Reference Assemblies 2008-10-03 18:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\WindowsLiveInstaller 2008-10-03 18:40 --------- d-----w C:\Program Files\Real Alternative 2008-10-03 18:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-10-03 18:38 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems 2008-10-03 18:37 --------- d-----w C:\Program Files\ACD Systems 2008-10-03 18:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\ACD Systems 2008-10-03 18:36 --------- d-----w C:\Program Files\Nero 2008-10-03 18:36 --------- d-----w C:\Program Files\Fichiers communs\Nero 2008-10-03 18:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero 2008-10-03 18:35 --------- d-----w C:\Program Files\MSXML 6.0 2008-10-03 18:35 --------- d-----w C:\Program Files\MSXML 4.0 2008-10-03 18:23 --------- d-----r C:\Program Files\Windows Sidebar 2008-10-03 18:17 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-10-03 16:22 6,068,224 ------w C:\WINDOWS\system32\dllcache\ieframe.dll 2008-09-15 15:14 1,847,040 ----a-w C:\WINDOWS\system32\win32k.sys 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-28 10:35 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-08-25 08:43 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-08-25 08:43 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-08-23 05:56 635,848 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-08-23 05:54 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2008-08-14 13:44 2,138,112 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-08-14 13:44 2,017,792 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-08-14 09:48 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys . ------- Sigcheck ------- 2007-12-18 04:04 1789952 addc47dfd517f2143d71e9310e414b50 C:\WINDOWS\explorer.exe 2004-08-19 16:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\ServicePackFiles\i386\explorer.exe 2008-04-14 04:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15360] "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-09-29 21755688] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-25 8466432] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-25 81920] "TopDesk"="C:\WINDOWS\system32\topdesk.exe" [2007-12-18 201216] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2007-01-10 1235456] "UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2006-07-17 122880] "VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2007-12-18 36864] "Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 121089] "Styler"="C:\Program Files\styler\Styler.exe" [2006-05-03 307200] "SynTPStart"="C:\Program Files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400] "QlbCtrl.exe"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 202032] "IntelZeroConfig"="C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe" [2008-07-10 1351680] "IntelWireless"="C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-07-10 1191936] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "QuickTime Task"="C:\Program Files\QT Lite\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-10-01 289576] "nwiz"="nwiz.exe" [2007-10-25 C:\WINDOWS\system32\nwiz.exe] "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-07-27 C:\WINDOWS\system32\CHDAudPropShortcut.exe] "Mouse Suite 98 Daemon"="ICO.EXE" [2004-07-14 C:\WINDOWS\system32\ICO.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2004-08-19 138240] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "TSClientMSIUninstaller"="C:\WINDOWS\Installer\TSClientMsiTrans\tscuinst.vbs" [2007-12-18 12451] "tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2007-12-18 44544] "nltide_3"="advpack.dll" [2008-08-26 C:\WINDOWS\system32\advpack.dll] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoUserNameInStartMenu"= 1 (0x1) "NoSMHelp"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoUserNameInStartMenu"= 1 (0x1) "NoSMHelp"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=tfrrfg.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.ACDV"= ACDV.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "C:\Program Files\FrostWire\FrostWire.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\Skype\Phone\Skype.exe"= R0 Si3124;Si3124;C:\WINDOWS\system32\drivers\Si3124.sys [2007-12-18 76208] R0 Si3132r5;Si3132r5;C:\WINDOWS\system32\drivers\Si3132r5.sys [2007-12-18 208688] R0 Si3531;Si3531;C:\WINDOWS\system32\drivers\Si3531.sys [2007-12-18 210224] R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;C:\WINDOWS\system32\Drivers\5U870CAP.sys [2006-06-07 61952] R3 NETw5x32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows XP 32 Bit;C:\WINDOWS\system32\DRIVERS\NETw5x32.sys [2008-06-26 3630080] S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-09-02 191656] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Tâches planifiées' 2008-10-20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] 2008-10-23 C:\WINDOWS\Tasks\MP Scheduled Scan.job - C:\Program Files\Windows Defender\MpCmdRun.exe [2006-11-03 19:20] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{13f3e8d2-2f7c-41ad-8f75-e2d2de9bdcc9} - C:\WINDOWS\system32\tfrrfg.dll Toolbar-SaveLinksOrder - (no file) Toolbar-Locked - (no file) Toolbar-ITBarLayout - (no file) Toolbar-ITBarLayout - (no file) Toolbar-ITBar7Layout - (no file) Toolbar-ITBar7Position - (no file) HKU-Default-RunOnce-nltide3 - rundll32 advpack.dll ShellExecuteHooks-{4D0C96E7-CA73-4E24-96F6-271BD3E024C8} - C:\WINDOWS\system32\khfGyaxv.dll Notify-khfGyaxv - khfGyaxv.dll . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\xfko38un.default\ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-23 13:18:50 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RGIE.tmp Scan terminé avec succès Fichiers cachés: 1 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv] "ImagePath"="\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc21.tmp" . Heure de fin: 2008-10-23 13:19:49 ComboFix-quarantined-files.txt 2008-10-23 11:19:42 Avant-CF: 126,420,246,528 octets libres Après-CF: 126,434,832,384 octets libres 310 --- E O F --- 2008-10-23 08:23:13

Darkstayer · Answer

Je serai de retour à 18h00! Faites moi part de vos solutions! Merci à vous!!!

g!rly · Answer

Voici la suite :

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\vbzip10.dll
C:\WINDOWS\system32\ftfnqacjghpar.exe
C:\205.bat
C:\WINDOWS\system32\OLD1C.tmp
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

Folder::
C:\WINDOWS\system32\xp2
C:\WINDOWS\system32\vm
C:\WINDOWS\system32\mci
C:\WINDOWS\system32\EV02
C:\Temp\xp34
C:\d3f79257e726d35b1b1637c6
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

Darkstayer · Answer

Pas mal de malwares ont été éradiqués, mais mon rapport Hijackthis me donne cela:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:07, on 23/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32	opdesk.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\styler\Styler.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TopDesk] C:\WINDOWS\system32	opdesk.exe
O4 - HKLM\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKLM\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKLM\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [Styler] C:\Program Files\styler\Styler.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QT Lite\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans	scuinst.vbs" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans	scuinst.vbs" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans	scuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans	scuinst.vbs" (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

g!rly · Answer

ok

maintenant fais un scan complet de ta machine a l´aide de malwarebytes et post son rapport stp

@+

g!rly · Answer

ok 

@+

g!rly · Answer

Ca donne quoi de ton coté ?
Post un nouveau rapport hijack this stp
@+

Darkstayer · Answer

Voici mon Rapport Hijackthis datant d'aujourd'hui ( j'espère que rien de bad se présente ): 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:29, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32	opdesk.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\styler\Styler.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\WiFi\bin\EvtEng.exe
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TopDesk] C:\WINDOWS\system32	opdesk.exe
O4 - HKLM\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKLM\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKLM\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [Styler] C:\Program Files\styler\Styler.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QT Lite\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans	scuinst.vbs" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans	scuinst.vbs" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans	scuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans	scuinst.vbs" (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

Darkstayer · Answer

Voici le Rapport malwirebytes anti-malware:

Malwarebytes' Anti-Malware 1.29
Version de la base de données: 1300
Windows 5.1.2600 Service Pack 2

25/10/2008 19:29:21
mbam-log-2008-10-25 (19-29-21).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 87225
Temps écoulé: 19 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

totobetourne · Answer

la il faut te proteger un peu tout de meme , (antivirus et pare feu etc......). je te laisse finir girly.

totobetourne · Answer

le pare feu windows ou rien cest pareil. c est de la merde.windows defender n esr pas un antivirus.
il faut un antivirus et un vrai pare feu d actif sur un ordi.

je prefere que tu attendes girly car elle n a peut etre pas fini.mais sache qu il faudra en changer des choses et surtout faire attention sur quoi tu cliques.

g!rly · Answer

salut a vous deux :)

dark :

Si tu n´a encore rien installé...

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

Reglages :

en image :

http://speedweb1.free.fr/frames2.php?page=tuto5

mes explications :

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
ceux qui ne voie pas root kit search : clcik sur le parapluie dans ta barre des tache > dans la fenetre d´antivir click sur local protection click en suite sur scanner
dans la fenetre de droite : tu a rootkit search vers le bas > tu developpe en appuyant sur le petit +
et coche tes disques...
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

ps : effectue le scan en mode sans echec :

Comment redémarrer en mode sans echec? 

   Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

@+

totobetourne · Answer

je vous raconte un topic.

quelqu un qui a des doutes ouvre un topic: ellle a le pare feu comodo(antivirus avast).


elle telecharge quelquechose et c est le pare feu qui lui signale un certain type de trojan et elle evite l infection.
donc si elle avait eu le pare feu windows on aurait eu a passer un peu de temps sur son cas.

la morale est qu il faut un vrai pare feu.ne fais cela que lorsque girly te le dira car je crois qu elle a autre chose a te faire faire.il est meilleur d installer un pare feu sur un pc completement sain.
regarde sur ce lien( mis a jour assez souvent) celui qui t interesse, demande moi les tuto pour ceux en anglais.

http://www.matousec.com/index.html

g!rly · Answer

salut dark et toto :)

dark 

post un dernier rapport hijack this stp

puis voici pour comodo en francais :

tuto : https://www.malekal.com/tutorial-comodo-firewall/

@+

g!rly · Answer

Ok, 

a l´aide de hijack this coche et fix :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QT Lite\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab 

comment fixer :

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

tu n´as pas installé comodo ?

important :

regarde ce tutorial pour mettre ta console java a jour :
 
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

ps : ne te trompes pas; sur la même page il y a aussi le tutoriel de flash...

puis passe ceci :

Ccleaner:

-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo):

   http://www.commentcamarche.net/telecharger/telechargement 168 ccleaner

-> L´installer.

-> Une fois installé et lancé :

   Dans la colonne de gauche, click sur :

   ->"registre" :

      Coches toutes les cases sous"l´integrité du registre", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.
      
      ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.

   ->"nettoyeur"
   
      quitte ton navigateur avant de le lancer, dans les propriétés du nettoyeur de l´onglet "windows" et "applications"décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.

-> Tutoriel en image :

   https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

-> Pour ceux qui voudraient aller plus loin en compagnie de jesses (fonctions avancés) :

   http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

et

jv16 power tools :

http://assiste.com.free.fr/p/logitheque/jv16.html

(derniere version gratuite...)

Je n´ai pas de tuto; alors voila mes explications : 

Click sur 

"registry tools"

Puis sur "tools" (en haut)

Dans l´arborescence

Sur "registry cleaner"

Dans la fenetre suivante click sur "continue" et dans la prochaine sur "start"

Une fois la recherche terminée tu vas te retrouver avec un tas de clées marquées d´un point rouge ou vert...

On va nettoyer que les vertes (safe)

Pour cela click sur "select" > "special select" > et click sur "items that should be safe to remove" il va alors selectionner les cleés vertes 

Click alors sur "remove" en bas a gauche pour nettoyer...

-.-.-.-

pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.mozilla-europe.org/fr/

plugins :ad block plus, no script ect...

https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

bonus :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

tuto : https://www.malekal.com/tutorial-spywareblaster/

voila

@+

Darkstayer · Answer

Merci pour les tuto & le coup de mains! 

Je ferai tout cela demain!

Jte dirai ensuite ou tt cela en est! @+

g!rly · Answer

Ok...

g!rly · Answer

Salut Dark..., 

Si tu n´as plus de souci on peut conclure ici...

Dis moi...

@+

Darkstayer · Answer

Si dans le cas présent , il s'agit de refaire les mêmes manipulations.

Je peux considérer que le Problème est Résolu !!

Merci à toi G!rly!!!!

Trojan:Win32/Vundo.gen!P

25 réponses

Discussions similaires