Sujet Précédent Sujet Suivant

Virtumonde et cie!!

jpg49 -  
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour ou bonsoir à tous et merci d'avance à ceux qui pourront me renseigner voir même m'aider à me débarasser de quelques trojans repérer par spybot mais récalcitrant à toute forme d'éradication :virtumonde , virtumonde généric , virtumonde prx et smitfraud-c....
J' ai tenté en mode sans échec de les virer avec spybot ,A2 squarred,Ccleaner et antivir xp!(j ai vidé tout les temp , désactiver la restauration,afficher tout les dossiers cachés ...)...Devant le manque de résultat j'ai installé hijackthis et est fait le log ci joint dans l'espoir qu'une âme sympa m'expliquera (comme si j 'avais 4 ans parce que je suis vraiment pas doué en informatique!!) si je peux retrouver un système plus stable et comment ! Merci !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:14, on 08/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\jp\Mes documents\Mes fichiers reçus\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
O2 - BHO: (no name) - {1FF477B7-8D3E-41CD-9649-00B57A4C870F} - C:\WINDOWS\system32\byXPGAtt.dll
O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
O2 - BHO: {831284bd-810f-642b-d244-b65e5839f9d4} - {4d9f9385-e56b-442d-b246-f018db482138} - C:\WINDOWS\system32\gxdqnt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ssqOGwUn.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - C:\WINDOWS\system32\zidewomi.dll
O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - C:\WINDOWS\system32\cnoawz.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [migajomabi] Rundll32.exe "C:\WINDOWS\system32\susonuno.dll",s
O4 - HKLM\..\Run: [0c93cf4c] rundll32.exe "C:\WINDOWS\system32\gjigtjas.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [migajomabi] Rundll32.exe "C:\WINDOWS\system32\susonuno.dll",s (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1227291321337&h=43d0202f88e070372462560b3e8d302d/&filename=jinstall-6u10-windows-i586-jc.cab
O20 - AppInit_DLLs: cnoawz.dll qxhgcb.dll,C:\WINDOWS\system32\pozimadu.dll gxdqnt.dll
O20 - Winlogon Notify: ssqOGwUn - C:\WINDOWS\SYSTEM32\ssqOGwUn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

16 réponses

Réponse 1 / 16
Sloubi76 Messages postés 1410 Statut Membre 136
 
Jpg49,

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

3
Réponse 2 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Salut ton ordi et un vrai nid a virus

Télécharges SmitfraudFix de S!Ri, balltrap34 et moe3 :

Installes le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

Tuto
Autre : tuto animé ( merci balltrapp34 ;) )

Utilisation ---> option 1 / Recherche :
Double cliques sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
0
Réponse 3 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
t'aimerais qu'ont te prenne la place comme ca je te signale que j'étais la avant to :)A+
0
Sloubi76 Messages postés 1410 Statut Membre 136
 
Bonsoir Kevin,

Autant pour moi, rafraichissement lent.
A toi l'honneur

@ +
0
Réponse 4 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Sinon bien infecter sont ordinateur...suis si tu veux au cas ou j'oublie une étape ... A+
0
Sloubi76 Messages postés 1410 Statut Membre 136
 
Kevin,

Pour suivre, effectivement à croire qu'il y a un élevage ;-))

@ +
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
ouais c'est rare quand je vois un ordinateur aussi infecter ^^
0
Sloubi76 Messages postés 1410 Statut Membre 136
 
Jpg,

Suis les consignes de Kevin et poste lui le rapport Smitfraud

@ +
0
jpg49 > Sloubi76 Messages postés 1410 Statut Membre
 
re salut a tous !!! je repost ici le rapport smitfraud :

SmitFraudFix v2.381

Rapport fait à 13:25:37,94, 09/12/2008
Executé à partir de C:\Documents and Settings\jp\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\jp\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jp


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jp\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jp\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jp\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="cnoawz.dll qxhgcb.dll,C:\\WINDOWS\\system32\\pozimadu.dll gxdqnt.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Voila et merci encore!!
0
Réponse 6 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Démarre en mode sans échec :

Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter

Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.

Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraudfix :

Cette fois choisit l’option 2, répond oui à tous ;

Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
0
Réponse 7 / 16
jpg49
 
re ;) ca va? voici le rapport smitfraud apres nettoyage...

SmitFraudFix v2.381

Rapport fait à 17:46:56,63, 09/12/2008
Executé à partir de C:\Documents and Settings\jp\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci Kevin!!
0
Réponse 8 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Télécharges SDFix sur ton bureau :
ou ici

--> Double-cliques sur SDFix.exe et choisis "Install" .

tuto ici

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
0
jpg49
 
re!! ci joint les 2 rapports :
b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\ssqOGwUn.dll - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-09 18:26:43
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe:*:Enabled:SiSoftware Database Agent Service"
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
"C:\\Program Files\\Red Storm Entertainment\\Ghost Recon\\GhostRecon.exe"="C:\\Program Files\\Red Storm Entertainment\\Ghost Recon\\GhostRecon.exe:*:Enabled:GhostRecon"
"C:\\Program Files\\Pellemele\\mcoviewer1.2.exe"="C:\\Program Files\\Pellemele\\mcoviewer1.2.exe:*:Enabled:mcoviewer1.2"
"C:\\WINDOWS\\system32\\ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe:*:Enabled:ctfmon"
"C:\\WINDOWS\\system32\\logonui.exe"="C:\\WINDOWS\\system32\\logonui.exe:*:Enabled:logonui"
"C:\\WINDOWS\\system32\\winlogon.exe"="C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:winlogon"
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:


[b]Finished![/b]

_____________________________________________________________________________________________________________________________________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:34:34, on 09/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\jp\Mes documents\Mes fichiers reçus\scanner.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
O2 - BHO: (no name) - {13085EF9-6808-4DE4-9C12-24C72442672B} - C:\WINDOWS\system32\byXPGAtt.dll
O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
O2 - BHO: {831284bd-810f-642b-d244-b65e5839f9d4} - {4d9f9385-e56b-442d-b246-f018db482138} - C:\WINDOWS\system32\gxdqnt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - C:\WINDOWS\system32\zidewomi.dll
O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - C:\WINDOWS\system32\cnoawz.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [migajomabi] Rundll32.exe "C:\WINDOWS\system32\susonuno.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [migajomabi] Rundll32.exe "C:\WINDOWS\system32\susonuno.dll",s (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1227291321337&h=43d0202f88e070372462560b3e8d302d/&filename=jinstall-6u10-windows-i586-jc.cab
O20 - AppInit_DLLs: cnoawz.dll qxhgcb.dll,C:\WINDOWS\system32\pozimadu.dll gxdqnt.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
0
Réponse 9 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Télécharge combofix (par sUBs) ici
ou ici

A lire

-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
jpg49
 
re!! rapport combofix :
ComboFix 08-12-07.04 - jp 2008-12-09 20:42:56.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.485 [GMT 1:00]
Lancé depuis: c:\documents and settings\jp\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\jp\LOCALS~1\Temp\tmp1.tmp
c:\windows\system32\404Fix.exe
c:\windows\system32\aimgen.dll
c:\windows\system32\byXPGAtt.dll
c:\windows\system32\cnoawz.dll
c:\windows\system32\dumphive.exe
c:\windows\system32\ehggqnxe.dll
c:\windows\system32\gjigtjas.dll
c:\windows\system32\gxdqnt.dll
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\mcrh.tmp
c:\windows\system32\o4Patch.exe
c:\windows\system32\pjxhqmgs.ini
c:\windows\system32\pozimadu.dll
c:\windows\system32\Process.exe
c:\windows\system32\qgkqvwhv.dll
c:\windows\system32\qxhgcb.dll
c:\windows\system32\sajtgijg.ini
c:\windows\system32\sgmqhxjp.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\susonuno.dll
c:\windows\system32\tmp.reg
c:\windows\system32\ttAGPXyb.ini
c:\windows\system32\ttAGPXyb.ini2
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\wejeduwa.dll
c:\windows\system32\WS2Fix.exe
c:\windows\system32\xgrcmd.dll
c:\windows\system32\zidewomi.dll
c:\windows\Tasks\owouamao.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-09 au 2008-12-09 ))))))))))))))))))))))))))))))))))))
.

2008-12-09 18:18 . 2008-12-09 18:18 <REP> d-------- c:\windows\ERUNT
2008-12-09 18:10 . 2008-12-09 18:30 <REP> d-------- C:\SDFix
2008-12-08 17:53 . 2008-12-08 17:53 <REP> d-------- c:\program files\TELE2
2008-12-08 00:26 . 2008-12-08 00:26 <REP> d-------- C:\VundoFix Backups
2008-12-06 18:23 . 2008-12-06 18:23 <REP> d-------- C:\clins
2008-12-04 08:16 . 2003-11-04 15:11 159,744 --a------ c:\windows\system32\lfpng13n.dll
2008-12-03 21:28 . 2008-12-03 21:32 <REP> d-------- c:\program files\Yahoo!
2008-12-03 21:28 . 2008-12-03 21:29 <REP> d-------- c:\program files\CCleaner
2008-12-03 16:43 . 2008-12-08 16:47 149 --a------ c:\windows\wininit.ini
2008-12-03 16:10 . 2008-12-03 21:35 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-12-03 16:10 . 2008-12-08 20:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-02 19:51 . 2008-12-03 23:16 <REP> d-------- c:\program files\MSNFix
2008-12-02 19:24 . 2008-12-02 19:24 <REP> d--h----- c:\windows\PIF
2008-11-30 15:57 . 2008-11-30 15:57 <REP> d--h----- c:\windows\system32\GroupPolicy
2008-11-29 16:05 . 2008-11-29 16:06 <REP> d-------- c:\program files\PhotoFiltre Studio
2008-11-29 16:05 . 2008-11-29 16:05 45 ---h----- c:\windows\dsez0211.dat
2008-11-26 15:11 . 2008-11-26 15:11 <REP> d-------- c:\program files\Google
2008-11-24 14:33 . 2008-12-09 18:10 754 --a------ c:\windows\WORDPAD.INI
2008-11-22 13:02 . 2008-12-02 19:35 <REP> d-------- c:\program files\a-squared Free
2008-11-22 10:51 . 2004-05-14 16:53 462,848 --a------ c:\windows\system32\ltkrn13n.dll
2008-11-22 10:51 . 2004-05-14 16:53 450,560 --a------ c:\windows\system32\ltimg13n.dll
2008-11-22 10:51 . 2004-05-14 16:53 401,408 --a------ c:\windows\system32\lfcmp13n.dll
2008-11-22 10:51 . 2004-05-14 16:53 299,008 --a------ c:\windows\system32\ltdis13n.dll
2008-11-22 10:51 . 2004-01-12 02:09 206,336 --a------ c:\windows\system32\ltefx13n.dll
2008-11-22 10:51 . 2004-05-14 16:53 163,840 --a------ c:\windows\system32\ltfil13n.dll
2008-11-22 10:51 . 2003-11-04 15:10 69,632 --a------ c:\windows\system32\lfgif13n.dll
2008-11-22 10:51 . 2004-05-14 16:53 57,344 --a------ c:\windows\system32\lfbmp13n.dll
2008-11-22 00:09 . 2008-11-22 00:27 <REP> d-------- c:\program files\PhotoFiltre
2008-11-21 19:16 . 2008-11-21 19:16 <REP> d-------- c:\windows\Sun
2008-11-21 19:16 . 2008-11-21 19:15 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-21 19:16 . 2008-11-21 19:15 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-21 19:15 . 2008-11-21 19:15 <REP> d-------- c:\program files\Java
2008-11-19 14:34 . 2008-11-19 14:34 <REP> d-------- c:\program files\Ubisoft
2008-11-17 19:11 . 2008-05-09 11:55 512,000 -----c--- c:\windows\system32\dllcache\jscript.dll
2008-11-17 19:11 . 2008-05-09 11:55 430,080 -----c--- c:\windows\system32\dllcache\vbscript.dll
2008-11-17 19:11 . 2008-05-09 11:55 180,224 -----c--- c:\windows\system32\dllcache\scrobj.dll
2008-11-17 19:11 . 2008-05-09 11:55 172,032 -----c--- c:\windows\system32\dllcache\scrrun.dll
2008-11-17 19:11 . 2008-05-08 12:24 155,648 -----c--- c:\windows\system32\dllcache\wscript.exe
2008-11-17 19:11 . 2008-05-10 00:25 135,168 -----c--- c:\windows\system32\dllcache\wshom.ocx
2008-11-17 19:11 . 2008-05-07 10:07 135,168 -----c--- c:\windows\system32\dllcache\cscript.exe
2008-11-17 19:05 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2008-11-17 19:05 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2008-11-17 19:05 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2008-11-17 17:27 . 2008-11-17 17:27 <REP> d-------- c:\program files\Pellemele
2008-11-16 17:55 . 2008-11-16 17:55 <REP> d-------- c:\program files\Red Storm Entertainment
2008-11-16 17:55 . 2008-11-19 14:45 <REP> d--h----- c:\program files\InstallShield Installation Information
2008-11-16 16:39 . 2008-11-22 12:44 <REP> d-------- c:\documents and settings\jp\Application Data\AdobeUM
2008-11-16 16:38 . 2008-11-16 16:38 <REP> d-------- c:\program files\Fichiers communs\Adobe
2008-11-16 16:30 . 2008-11-16 16:30 <REP> d-------- c:\windows\Cache
2008-11-16 14:16 . 2008-11-16 14:16 <REP> d-------- c:\documents and settings\All Users\Application Data\nView_Profiles
2008-11-16 12:20 . 2008-11-16 12:20 <REP> d-------- c:\program files\Mouse
2008-11-16 11:38 . 2008-12-09 14:52 <REP> d-------- c:\program files\eMule
2008-11-16 11:30 . 2008-11-16 12:53 <REP> d-------- c:\program files\Dofus
2008-11-16 01:56 . 2008-11-16 01:56 <REP> d-------- c:\windows\system32\LogFiles
2008-11-16 01:47 . 2008-11-16 01:47 <REP> d-------- c:\windows\system32\fr
2008-11-16 01:47 . 2008-11-16 01:47 <REP> d-------- c:\windows\system32\bits
2008-11-16 01:47 . 2008-11-16 01:47 <REP> d-------- c:\windows\l2schemas
2008-11-16 01:43 . 2008-11-16 01:47 <REP> d-------- c:\windows\ServicePackFiles
2008-11-16 01:21 . 2007-06-26 07:00 572,557 -----c--- c:\windows\system32\dllcache\rtuner.wmv
2008-11-16 01:20 . 2008-04-14 03:33 1,737,856 --------- c:\windows\system32\mtxparhd.dll
2008-11-16 01:19 . 2004-08-03 22:41 1,041,536 --------- c:\windows\system32\drivers\hsfdpsp2.sys
2008-11-16 01:18 . 2008-11-16 01:18 <REP> d-------- c:\program files\Fichiers communs\Nero
2008-11-16 01:18 . 2008-04-14 03:33 1,888,992 --------- c:\windows\system32\ati3duag.dll
2008-11-16 01:15 . 2008-11-16 01:15 <REP> d-------- c:\program files\Fichiers communs\Ahead
2008-11-16 01:15 . 2004-07-26 17:16 1,568,768 --------- c:\windows\system32\ImagX7.dll
2008-11-16 01:15 . 2004-07-26 17:16 476,320 --------- c:\windows\system32\ImagXpr7.dll
2008-11-16 01:15 . 2004-07-26 17:16 471,040 --------- c:\windows\system32\ImagXRA7.dll
2008-11-16 01:15 . 2004-07-26 17:16 262,144 --------- c:\windows\system32\ImagXR7.dll
2008-11-16 01:15 . 2001-07-09 11:50 155,648 --a------ c:\windows\system32\NeroCheck.exe
2008-11-16 01:15 . 2000-06-26 11:45 106,496 --a------ c:\windows\system32\TwnLib20.dll
2008-11-16 01:14 . 2008-11-16 01:15 <REP> d-------- c:\program files\Ahead
2008-11-16 00:58 . 2008-11-16 17:48 <REP> d-------- c:\program files\Steam
2008-11-16 00:45 . 2008-04-13 19:46 85,248 --a------ c:\windows\system32\drivers\nabtsfec.sys
2008-11-16 00:45 . 2008-04-13 19:45 60,032 --a------ c:\windows\system32\drivers\usbaudio.sys
2008-11-16 00:45 . 2008-04-13 19:46 19,200 --a------ c:\windows\system32\drivers\wstcodec.sys
2008-11-16 00:45 . 2008-04-13 19:46 17,024 --a------ c:\windows\system32\drivers\ccdecode.sys
2008-11-16 00:45 . 2008-04-14 03:34 16,384 --a------ c:\windows\system32\ipsink.ax
2008-11-16 00:45 . 2008-04-13 19:46 15,232 --a------ c:\windows\system32\drivers\streamip.sys
2008-11-16 00:45 . 2008-04-13 19:46 11,136 --a------ c:\windows\system32\drivers\slip.sys
2008-11-16 00:45 . 2008-04-13 19:46 10,880 --a------ c:\windows\system32\drivers\ndisip.sys
2008-11-16 00:45 . 2008-04-13 19:39 5,504 --a------ c:\windows\system32\drivers\mstee.sys
2008-11-16 00:44 . 2008-04-14 03:34 92,160 --a------ c:\windows\system32\kswdmcap.ax
2008-11-16 00:44 . 2008-04-14 03:34 61,952 --a------ c:\windows\system32\kstvtune.ax
2008-11-16 00:44 . 2008-04-14 03:33 54,784 --a------ c:\windows\system32\vfwwdm32.dll
2008-11-16 00:44 . 2008-04-14 03:34 43,008 --a------ c:\windows\system32\ksxbar.ax
2008-11-16 00:44 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-11-16 00:44 . 2008-04-14 03:34 28,672 --a------ c:\windows\system32\vidcap.ax
2008-11-16 00:40 . 2008-11-16 00:40 <REP> d-------- c:\program files\Avira
2008-11-16 00:21 . 2008-11-16 00:21 <REP> d-------- c:\windows\Web
2008-11-16 00:19 . 2008-10-03 18:12 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
2008-11-16 00:19 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2008-11-16 00:19 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2008-11-16 00:19 . 2008-08-26 09:11 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2008-11-16 00:19 . 2008-08-26 09:11 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2008-11-16 00:19 . 2008-08-26 09:11 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2008-11-16 00:19 . 2008-08-26 09:11 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2008-11-16 00:19 . 2008-08-26 09:11 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2008-11-16 00:19 . 2008-08-25 09:38 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2008-11-16 00:18 . 2008-11-16 01:47 <REP> d-------- c:\windows\system32\fr-fr
2008-11-15 23:56 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-11-15 23:51 . 2008-11-16 01:43 <REP> d-------- c:\documents and settings\jp\Contacts
2008-11-15 23:50 . 2008-04-13 19:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
2008-11-15 23:49 . 2008-11-20 20:32 <REP> d--h----- C:\BJPrinter
2008-11-15 23:49 . 2004-05-21 06:00 116,736 --a------ c:\windows\system32\CNMLM66.DLL
2008-11-15 23:49 . 2004-03-11 17:06 86,016 --a------ c:\windows\system32\CNMCP66.exe
2008-11-15 23:49 . 2004-05-21 06:00 7,680 --a------ c:\windows\system32\CNMVS66.DLL
2008-11-15 23:48 . 2008-11-28 16:30 <REP> d-------- c:\program files\Windows Live Safety Center
2008-11-15 23:47 . 2008-11-15 23:47 <REP> d----c--- c:\windows\system32\DRVSTORE
2008-11-15 23:47 . 2008-11-16 00:45 <REP> d-------- c:\program files\Fichiers communs\LogiShrd
2008-11-15 23:47 . 2007-10-12 02:55 1,279,000 --a------ c:\windows\system32\drivers\LV302V32.SYS
2008-11-15 23:47 . 2007-10-12 03:00 490,008 --a------ c:\windows\system32\LVUI2.dll
2008-11-15 23:47 . 2007-10-12 03:00 465,432 --a------ c:\windows\system32\LVUI2RC.dll
2008-11-15 23:47 . 2007-10-12 02:57 416,280 --a------ c:\windows\system32\lvcodec2.dll
2008-11-15 23:47 . 2007-10-12 02:57 195,096 --a------ c:\windows\system32\lvci1150.dll
2008-11-15 23:47 . 2007-10-12 02:11 59,500 --a------ c:\windows\system32\lvcoinst.ini
2008-11-15 23:47 . 2007-10-12 03:00 41,752 --a------ c:\windows\system32\drivers\LVUSBSta.sys
2008-11-15 23:47 . 2007-10-12 02:18 21,138 --a------ c:\windows\system32\Repository.reg
2008-11-15 23:47 . 2007-10-12 02:55 13,848 --a------ c:\windows\system32\drivers\lv302af.sys
2008-11-15 23:45 . 2008-11-16 00:06 <REP> d-------- C:\pilots
2008-11-15 23:45 . 2008-11-17 17:25 <REP> d-------- C:\logiciels
2008-11-15 23:41 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-11-15 23:41 . 2008-06-14 18:33 272,768 --------- c:\windows\system32\drivers\bthport.sys
2008-11-15 23:41 . 2008-06-14 18:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
2008-11-15 23:41 . 2008-08-14 11:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys
2008-11-15 23:39 . 2008-11-15 23:47 <REP> d-------- c:\program files\Windows Live

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-16 16:55 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-11 7311360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-11-11 86016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-21 136600]
"nwiz"="nwiz.exe" [2005-11-11 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"WUAppSetup"="c:\program files\Fichiers communs\logishrd\WUApp32.exe" [2007-10-12 439568]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=cnoawz.dll qxhgcb.dll,c:\windows\system32\pozimadu.dll xgrcmd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm
"vidc.wmv3"= c:\progra~1\COMBIN~1\Filters\wmv9vcm.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-11-16 01:59 1410296 c:\program files\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Red Storm Entertainment\\Ghost Recon\\GhostRecon.exe"=
"c:\\Program Files\\Pellemele\\mcoviewer1.2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2002-01-01 110160]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2002-01-01 20560]
R3 Amps2prt;Compatible PS/2 Port Mouse Driver;c:\windows\system32\DRIVERS\Amps2prt.sys [2002-03-18 9216]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
BHO-{0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
BHO-{257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
BHO-{30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
BHO-{332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
BHO-{4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
BHO-{4d9f9385-e56b-442d-b246-f018db482138} - (no file)
BHO-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
BHO-{81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
BHO-{8A2C12DF-F6B4-4D74-9102-C6278B32659F} - c:\windows\system32\byXPGAtt.dll
BHO-{c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - c:\windows\system32\xgrcmd.dll
BHO-{c9d90991-c4dc-4f05-a2b1-83a23a4045be} - c:\windows\system32\zidewomi.dll
BHO-{cbfae4d5-72a9-4c54-a115-e48edda387fd} - c:\windows\system32\cnoawz.dll
BHO-{E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
BHO-{F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
BHO-{F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
BHO-{F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
BHO-{FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
HKLM-Run-migajomabi - c:\windows\system32\susonuno.dll
HKLM-Run-WheelMouse - Amoumain.exe
Notify-ssqOGwUn - (no file)
MSConfigStartUp-avgnt - c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-09 20:48:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\a-squared Free\a2service.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Mouse\Amoumain.exe
.
**************************************************************************
.
Heure de fin: 2008-12-09 20:51:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-09 19:51:08

Avant-CF: 133 337 792 512 octets libres
Après-CF: 133,277,110,272 octets libres

277 --- E O F --- 2008-11-17 19:33:20

houpps!! petit question au passage : la protection resident de spybot me signale a chaque redemarrage que une valeur base de registre "migajomabi" a été modifié!? je dois accepter ou refuser la modif ? merci a toi pour tes tres précieux conseils! ca fait plaisir de pas etre seul a se depatouiller avec ces saletés! mdr
0
Réponse 10 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Accepte pour spybot et

Télécharges MalwareByte's anti malware :

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le : ici)

Potasses le tuto pour te familiariser avec le prg :
tuto ici
ou ici
( cela dis, il est très simple d'utilisation ).

! Déconnectes toi et fermes toutes applications en cours !

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
0
jpg49
 
re!! pfffff il a bossé malware..et pas pour rien!!lol je ojoins en + un log hitjack


09/12/2008 22:07:58
mbam-log-2008-12-09 (22-07-58).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 90867
Temps écoulé: 41 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\migajomabi (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\aimgen.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\byXPGAtt.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\cnoawz.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ehggqnxe.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\qxhgcb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\sgmqhxjp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\xgrcmd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000018.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000019.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000020.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000021.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000027.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000029.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000032.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

_____________________________________________________________________________________________Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:07, on 09/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\jp\Mes documents\Mes fichiers reçus\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
O2 - BHO: (no name) - {4d9f9385-e56b-442d-b246-f018db482138} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
O2 - BHO: (no name) - {8A2C12DF-F6B4-4D74-9102-C6278B32659F} - (no file)
O2 - BHO: (no name) - {c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - (no file)
O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - (no file)
O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
O2 - BHO: (no name) - {F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1227291321337&h=43d0202f88e070372462560b3e8d302d/&filename=jinstall-6u10-windows-i586-jc.cab
O20 - AppInit_DLLs: cnoawz.dll qxhgcb.dll,C:\WINDOWS\system32\pozimadu.dll xgrcmd.dll
O20 - Winlogon Notify: ssqOGwUn - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
0
Réponse 11 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Bien... relance HJK fait do a system scan only

Coche ces lignes

O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
O2 - BHO: (no name) - {F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
O2 - BHO: (no name) - {8A2C12DF-F6B4-4D74-9102-C6278B32659F} - (no file)
O2 - BHO: (no name) - {c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - (no file)
O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - (no file)
O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - (no file)
O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
O2 - BHO: (no name) - {4d9f9385-e56b-442d-b246-f018db482138} - (no file)

Et fait fix checked
0
jpg49
 
voila!! c est fait ! je refais un hijackthis ? ou je brule mon pc? ou un ti coup de baygon? en tout cas ca a l air d'aller nivo clavier et plus d aletre ni d antivir ni de spybot! c est le calme avant la tourmente ou le plus gros est passé?
0
Réponse 12 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ...

--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
0
jpg49
 
re! j ai fait le scan en ligne kapersky! il a rien trouvé mais j ai pas trouver le rapport !mais c'etait clean pour lui en tout cas! ca le fait??
0
jpg49 > jpg49
 
Salut ! en fait j ai causé trop vite:( le scan en ligne avec kapersky a rien donné mais apres j ai reactivé antivir xp et lui m'a donné 2 alertes virtumonde a nouveau! que ce soit la mise en quarantaine ou la suppresion antivir semble pas a l aise avec ce trojan!
0
jpg49 > jpg49
 
re Kevin !!je te repost un log hijackthis fait en mode sans echec! je rêve ou les lignes que tu m'as donné a "fixed" sont de retour!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:22:10, on 10/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\jp\Mes documents\Mes fichiers reçus\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
O2 - BHO: (no name) - {4d9f9385-e56b-442d-b246-f018db482138} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
O2 - BHO: (no name) - {8A2C12DF-F6B4-4D74-9102-C6278B32659F} - (no file)
O2 - BHO: (no name) - {c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - (no file)
O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - (no file)
O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
O2 - BHO: (no name) - {F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1227291321337&h=43d0202f88e070372462560b3e8d302d/&filename=jinstall-6u10-windows-i586-jc.cab
O20 - AppInit_DLLs: cnoawz.dll qxhgcb.dll,C:\WINDOWS\system32\pozimadu.dll xgrcmd.dll
O20 - Winlogon Notify: ssqOGwUn - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
0
Réponse 13 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
relance HJK en mode sans echec fait do a system scan only

Coche ces lignes

O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
O2 - BHO: (no name) - {F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
O2 - BHO: (no name) - {8A2C12DF-F6B4-4D74-9102-C6278B32659F} - (no file)
O2 - BHO: (no name) - {c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - (no file)
O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - (no file)
O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - (no file)
O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
O2 - BHO: (no name) - {4d9f9385-e56b-442d-b246-f018db482138} - (no file)

Et fait fix checked

Télécharge Ad-remover ( de C_XX ) sur ton bureau ( et pas ailleurs!) :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD­-R.exe

! Déconnecte toi et ferme toutes applications en cours !

* Clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installe par défaut .
* Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
* Au menu principal choisis l'option "A" et tape sur [entrée] .

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
jpg49
 
re!!

--------- Logfile of AD-Remover 1.0.7.1 by C_XX ---------

# START at: 14:10:04 | 10/12/2008 | Microsoft® Windows XP™ (v5.1.2600)
# BOOT MODE: MSE

# OPTION: Scan | EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat

# PC: ATHLON | USER: jp ( Current user is an administrator)

# DRIVE(S): A:\
# Systemdrive: C:\ (NTFS)
# Internet Explorer v7.0.5730.13

--------- [ RUNNING PROCESSES: 10 ] ---------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe

-----------------------------------


+-----------------------| Boonty/Boonty Games Elements found :

.

+-----------------------| Eorezo Elements found :

.

+-----------------------| Everest Poker Elements found :

.

+-----------------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements found :

.

+-----------------------| Messenger Skinner Elements found :

.

+-----------------------| Sweetim Elements found :

.

+-----------------------| ADDED SCAN :

+--[HKEY_CURRENT_USER\..\Run]

ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

+--[HKEY_LOCAL_MACHINE\..\Run]

NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

+--[HKEY_USERS\.DEFAULT\..\Run]

CTFMON.EXE REG_SZ C:\WINDOWS\system32\CTFMON.EXE

+--[HKEY_CURRENT_USER\..\Internet Explorer\MAIN]

Start Page : hxxp://www.google.fr/

+--[HKEY_LOCAL_MACHINE\..\Internet Explorer\MAIN]

Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

+---------------------------------------------------------------------------+

- "C:\AD-report-10.12.2008.log" (2221 octets)

[ END at: 14:10:22 | 10/12/2008 ] - [ Time elapsed: 18.1 seconds ]

+---------------------------------------------------------------------------+
+------------------------------- [ E.O.F - 49 lines ]
+---------------------------------------------------------------------------+

ET avant j ai fixed les lignes que tu m'as donné! merci! et j'attend la suite! si suite il y a !!!!
0
jpg49 > jpg49
 
re! encore une alerte antivir xp qui me signale le TR/Vundo.Gen dans C:\systeme Volume Information \....\A0000023.dll si ca peut t'aider!! ++
0
Réponse 14 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Telecharge http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
UsbFix sur ton bureau
--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
0
Réponse 15 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Télécharges MalwareByte's anti malware :

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le : ici)

Potasses le tuto pour te familiariser avec le prg :
tuto ici
ou ici
( cela dis, il est très simple d'utilisation ).

! Déconnectes toi et fermes toutes applications en cours !

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
0
jpg49
 
voila le rapport usbfix!! je fais ensuite un scan malwarebytes........


-------------- UsbFix V2.413.3 ---------------

* User : jp - ATHLON
* Outils mis a jours le 06/12/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 14:59:08 le 10/12/2008
* Windows Xp - Internet Explorer 7.0.5730.13


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\DOCUME~1\jp\LOCALS~1\Temp\1.tmp\b2e.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur de CD-ROM

E: - Lecteur de CD-ROM


+- Contenu de l'autorun : D:\autorun.inf

[autorun]
open=FarCryAutoCD.exe
icon=FarCry.exe, 0




+- Contenu de l'autorun : E:\autorun.inf

[autorun]
open=launcher.exe


--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe


+- Listing des fichiers présents :

[01/01/2002 02:53][--a------] C:\AUTOEXEC.BAT
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
[07/12/2008 09:57][---hs----] C:\boot.ini
[09/12/2008 20:51][--a------] C:\ComboFix.txt
[09/12/2008 20:51][--a------] C:\rapport.txt
[09/12/2008 20:51][--a------] C:\UsbFix.txt
[09/12/2008 20:51][--a------] C:\VundoFix.txt
[01/01/2002 02:53][--a------] C:\CONFIG.SYS
[01/01/2002 02:53][--a------] C:\IO.SYS
[01/01/2002 02:53][--a------] C:\MSDOS.SYS
[01/01/2002 02:53][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur de CD-ROM


+- Listing des fichiers présents :

[27/02/2004 03:57][-r-------] D:\FarCry.exe
[27/02/2004 03:57][-r-------] D:\FarCryAutoCD.exe
[27/02/2004 03:57][-r-------] D:\setup.exe
[15/02/2004 15:20][-r-------] D:\Autorun.inf
[01/03/2004 09:44][-r-------] D:\SECDRV.SYS

--------------- [ Lecteur E ] ----------------

E: - Lecteur de CD-ROM


+- Listing des fichiers présents :

[30/05/2001 15:27][-r-------] E:\Launcher.exe
[30/05/2001 15:27][-r-------] E:\Setup.exe
[30/05/2001 15:27][-r-------] E:\ShogunW.exe
[30/05/2001 15:27][-r-------] E:\Uninstall.exe
[30/05/2001 15:27][-r-------] E:\_ISDel.exe
[10/07/2001 15:14][-r-------] E:\SETUP.INI
[02/04/2000 18:36][-r-------] E:\AUTORUN.INF
[20/07/2001 18:06][-r-------] E:\secdrv.sys

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

--------------- [ Registre / Mountpoint2 ] ----------------


-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [09/12/2008 17:47][--a------] C:\WINDOWS\system32\tmp.txt
Echec de la supression !! - [15/02/2004 15:20] D:\autorun.inf
Echec de la supression !! - [15/02/2004 15:20] D:\autorun.inf
Echec de la supression !! - [15/02/2004 15:20] D:\autorun.inf
Echec de la supression !! - [02/04/2000 18:36] E:\autorun.inf
Echec de la supression !! - [02/04/2000 18:36] E:\autorun.inf
Echec de la supression !! - [02/04/2000 18:36] E:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[01/01/2002 02:53][--a------] C:\AUTOEXEC.BAT
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
[07/12/2008 09:57][---hs----] C:\boot.ini
[27/02/2004 03:57][-r-------] D:\FarCry.exe
[27/02/2004 03:57][-r-------] D:\FarCryAutoCD.exe
[27/02/2004 03:57][-r-------] D:\setup.exe
[15/02/2004 15:20][-r-------] D:\Autorun.inf
[30/05/2001 15:27][-r-------] E:\Launcher.exe
[30/05/2001 15:27][-r-------] E:\Setup.exe
[30/05/2001 15:27][-r-------] E:\ShogunW.exe
[30/05/2001 15:27][-r-------] E:\Uninstall.exe
[30/05/2001 15:27][-r-------] E:\_ISDel.exe
[10/07/2001 15:14][-r-------] E:\SETUP.INI
[02/04/2000 18:36][-r-------] E:\AUTORUN.INF

--------------- ! Fin du rapport ! ----------------

++ kevin!!
0
jpg49 > jpg49
 
voici le rapport malwarebyte:
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1482
Windows 5.1.2600 Service Pack 3

10/12/2008 15:56:15
mbam-log-2008-12-10 (15-56-15).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 92155
Temps écoulé: 43 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

?? purée j'ai jamais fait autant de scan d 'affilé lol!!mais je commence a m'y retrouver un peu! a ton avis comment ca ce fait qu'antivir xp a laissé passer tant de trojans! mal configuré ou pas adapté a ce style de bestiole?
merci a toute sans doute!
0
jpg49 > jpg49
 
re!! toujours la meme alerte concernant vundo par mon antivirus! et apres verif les lignes de mon rapport hitjackthis que tu m as fait cocher et fixer sont toujours la? comment ca ce fait? merci a toi!
0
Réponse 16 / 16
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
 
Télécharge Vundofix.exe (par Atribune) sur ton Bureau.
http://vundofix.atribune.org/
* Double-clique sur VundoFix.exe afin de le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton fix Vundo.
* Une invite de commande demandera si tu souhaites supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Une nouvelle invite de commande annoncera que le PC devrai s'éteindre ("shutdown"). Clique sur OK , puis laisse le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt,
Poste le rapport
0

Discussions similaires

paypal prélèvement suspect
islandpie -
marie6claude -

3 réponses
un code d'argen pour sims 2 animaux et cie
cocodu12 -
Tengurou -

50 réponses
combien d'espace memoire occupe un entier ...
diddy_19 -
kamla -

7 réponses
encore PayPal ...est-ce une arnaque ?
erwin16 -
sissi12 -

2 réponses
Octets
systemdz1 -
ludobabs -

2 réponses