Virtumonde et cie!!

jpg49 -  
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour ou bonsoir à tous et merci d'avance à ceux qui pourront me renseigner voir même m'aider à me débarasser de quelques trojans repérer par spybot mais récalcitrant à toute forme d'éradication :virtumonde , virtumonde généric , virtumonde prx et smitfraud-c....
J' ai tenté en mode sans échec de les virer avec spybot ,A2 squarred,Ccleaner et antivir xp!(j ai vidé tout les temp , désactiver la restauration,afficher tout les dossiers cachés ...)...Devant le manque de résultat j'ai installé hijackthis et est fait le log ci joint dans l'espoir qu'une âme sympa m'expliquera (comme si j 'avais 4 ans parce que je suis vraiment pas doué en informatique!!) si je peux retrouver un système plus stable et comment ! Merci !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:14, on 08/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\jp\Mes documents\Mes fichiers reçus\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
O2 - BHO: (no name) - {1FF477B7-8D3E-41CD-9649-00B57A4C870F} - C:\WINDOWS\system32\byXPGAtt.dll
O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
O2 - BHO: {831284bd-810f-642b-d244-b65e5839f9d4} - {4d9f9385-e56b-442d-b246-f018db482138} - C:\WINDOWS\system32\gxdqnt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ssqOGwUn.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - C:\WINDOWS\system32\zidewomi.dll
O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - C:\WINDOWS\system32\cnoawz.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [migajomabi] Rundll32.exe "C:\WINDOWS\system32\susonuno.dll",s
O4 - HKLM\..\Run: [0c93cf4c] rundll32.exe "C:\WINDOWS\system32\gjigtjas.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\Run: [migajomabi] Rundll32.exe "C:\WINDOWS\system32\susonuno.dll",s (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1227291321337&h=43d0202f88e070372462560b3e8d302d/&filename=jinstall-6u10-windows-i586-jc.cab
O20 - AppInit_DLLs: cnoawz.dll qxhgcb.dll,C:\WINDOWS\system32\pozimadu.dll gxdqnt.dll
O20 - Winlogon Notify: ssqOGwUn - C:\WINDOWS\SYSTEM32\ssqOGwUn.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

--
End of file - 6565 bytes

Voila! et encore merci a ceux qui m'ont lu et surtout réso(lu) ;)
Configuration: Windows XP
Internet Explorer 7.0

16 réponses

  1. Sloubi76 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   136
     
    Jpg49,

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    3
  2. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Salut ton ordi et un vrai nid a virus

    Télécharges SmitfraudFix de S!Ri, balltrap34 et moe3 :

    Installes le soft sur ton bureau ( et pas ailleurs! ) .

    !! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

    Tuto
    Autre : tuto animé ( merci balltrapp34 ;) )

    Utilisation ---> option 1 / Recherche :
    Double cliques sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

    Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
    0
  3. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    t'aimerais qu'ont te prenne la place comme ca je te signale que j'étais la avant to :)A+
    0
    1. Sloubi76 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   136
       
      Bonsoir Kevin,

      Autant pour moi, rafraichissement lent.
      A toi l'honneur

      @ +
      0
  4. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Sinon bien infecter sont ordinateur...suis si tu veux au cas ou j'oublie une étape ... A+
    0
    1. Sloubi76 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   136
       
      Kevin,

      Pour suivre, effectivement à croire qu'il y a un élevage ;-))

      @ +
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    ouais c'est rare quand je vois un ordinateur aussi infecter ^^
    0
    1. Sloubi76 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   136
       
      Jpg,

      Suis les consignes de Kevin et poste lui le rapport Smitfraud

      @ +
      0
      1. jpg49 > Sloubi76 Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
         
        re salut a tous !!! je repost ici le rapport smitfraud :

        SmitFraudFix v2.381

        Rapport fait à 13:25:37,94, 09/12/2008
        Executé à partir de C:\Documents and Settings\jp\Bureau\SmitfraudFix
        OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
        Le type du système de fichiers est NTFS
        Fix executé en mode sans echec

        »»»»»»»»»»»»»»»»»»»»»»»» Process

        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\Documents and Settings\jp\Bureau\SmitfraudFix\Policies.exe
        C:\WINDOWS\system32\cmd.exe

        »»»»»»»»»»»»»»»»»»»»»»»» hosts


        »»»»»»»»»»»»»»»»»»»»»»»» C:\


        »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


        »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


        »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


        »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


        »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


        »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jp


        »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jp\LOCALS~1\Temp


        »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\jp\Application Data


        »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


        »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\jp\Favoris


        »»»»»»»»»»»»»»»»»»»»»»»» Bureau


        »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


        »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


        »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

        [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
        "Source"="About:Home"
        "SubscribedURL"="About:Home"
        "FriendlyName"="Ma page d'accueil"


        »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
        !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

        o4Patch
        Credits: Malware Analysis & Diagnostic
        Code: S!Ri



        »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
        !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

        IEDFix
        Credits: Malware Analysis & Diagnostic
        Code: S!Ri



        »»»»»»»»»»»»»»»»»»»»»»»» VACFix
        !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

        VACFix
        Credits: Malware Analysis & Diagnostic
        Code: S!Ri


        »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
        !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

        404Fix
        Credits: Malware Analysis & Diagnostic
        Code: S!Ri


        »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
        !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

        SrchSTS.exe by S!Ri
        Search SharedTaskScheduler's .dll


        »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
        !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
        "AppInit_DLLs"="cnoawz.dll qxhgcb.dll,C:\\WINDOWS\\system32\\pozimadu.dll gxdqnt.dll"
        "LoadAppInit_DLLs"=dword:00000001


        »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
        !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
        "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
        "System"=""


        »»»»»»»»»»»»»»»»»»»»»»»» RK



        »»»»»»»»»»»»»»»»»»»»»»»» DNS

        HKLM\SYSTEM\CCS\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
        HKLM\SYSTEM\CS1\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
        HKLM\SYSTEM\CS3\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
        HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
        HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
        HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


        »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


        »»»»»»»»»»»»»»»»»»»»»»»» Fin

        Voila et merci encore!!
        0
  7. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Démarre en mode sans échec :

    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter

    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.

    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraudfix :

    Cette fois choisit l’option 2, répond oui à tous ;

    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
    0
  8. jpg49
     
    re ;) ca va? voici le rapport smitfraud apres nettoyage...

    SmitFraudFix v2.381

    Rapport fait à 17:46:56,63, 09/12/2008
    Executé à partir de C:\Documents and Settings\jp\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{C2DD33A9-E1F0-4783-AB07-42ECD84AA560}: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Merci Kevin!!
    0
  9. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Télécharges SDFix sur ton bureau :
    ou ici

    --> Double-cliques sur SDFix.exe et choisis "Install" .

    tuto ici

    Puis une fois l'installe faite ,

    Impératif : Démarrer en mode sans echec .

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarres ton ordi .
    2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).
    attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

    Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
    --->Tapes Y pour lancer le script ...
    Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
    presses une touche pour redémarrer quand il te le sera demandé .

    Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

    Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
    C:\SDFix sous le nom "Report.txt".
    Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
    0
    1. jpg49
       
      re!! ci joint les 2 rapports :
      b]Checking Files [/b]:

      Trojan Files Found:

      C:\WINDOWS\system32\ssqOGwUn.dll - Deleted





      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-09 18:26:43
      Windows 5.1.2600 Service Pack 3 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe:*:Enabled:SiSoftware Database Agent Service"
      "C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"="C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
      "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
      "C:\\Program Files\\Red Storm Entertainment\\Ghost Recon\\GhostRecon.exe"="C:\\Program Files\\Red Storm Entertainment\\Ghost Recon\\GhostRecon.exe:*:Enabled:GhostRecon"
      "C:\\Program Files\\Pellemele\\mcoviewer1.2.exe"="C:\\Program Files\\Pellemele\\mcoviewer1.2.exe:*:Enabled:mcoviewer1.2"
      "C:\\WINDOWS\\system32\\ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe:*:Enabled:ctfmon"
      "C:\\WINDOWS\\system32\\logonui.exe"="C:\\WINDOWS\\system32\\logonui.exe:*:Enabled:logonui"
      "C:\\WINDOWS\\system32\\winlogon.exe"="C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:winlogon"
      "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorer"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

      [b]Remaining Files [/b]:


      File Backups: - C:\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:


      [b]Finished![/b]

      _____________________________________________________________________________________________________________________________________________________________________________________
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:34:34, on 09/12/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16735)
      Boot mode: Safe mode

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Documents and Settings\jp\Mes documents\Mes fichiers reçus\scanner.exe

      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
      O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
      O2 - BHO: (no name) - {13085EF9-6808-4DE4-9C12-24C72442672B} - C:\WINDOWS\system32\byXPGAtt.dll
      O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
      O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
      O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
      O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
      O2 - BHO: {831284bd-810f-642b-d244-b65e5839f9d4} - {4d9f9385-e56b-442d-b246-f018db482138} - C:\WINDOWS\system32\gxdqnt.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
      O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - C:\WINDOWS\system32\zidewomi.dll
      O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - C:\WINDOWS\system32\cnoawz.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
      O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
      O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
      O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [migajomabi] Rundll32.exe "C:\WINDOWS\system32\susonuno.dll",s
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-20\..\Run: [migajomabi] Rundll32.exe "C:\WINDOWS\system32\susonuno.dll",s (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'Default user')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
      O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1227291321337&h=43d0202f88e070372462560b3e8d302d/&filename=jinstall-6u10-windows-i586-jc.cab
      O20 - AppInit_DLLs: cnoawz.dll qxhgcb.dll,C:\WINDOWS\system32\pozimadu.dll gxdqnt.dll
      O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
      O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
      0
  10. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Télécharge combofix (par sUBs) ici
    ou ici

    A lire

    -> Double clique sur combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
    1. jpg49
       
      re!! rapport combofix :
      ComboFix 08-12-07.04 - jp 2008-12-09 20:42:56.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.485 [GMT 1:00]
      Lancé depuis: c:\documents and settings\jp\Bureau\ComboFix.exe
      * Un nouveau point de restauration a été créé

      [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\docume~1\jp\LOCALS~1\Temp\tmp1.tmp
      c:\windows\system32\404Fix.exe
      c:\windows\system32\aimgen.dll
      c:\windows\system32\byXPGAtt.dll
      c:\windows\system32\cnoawz.dll
      c:\windows\system32\dumphive.exe
      c:\windows\system32\ehggqnxe.dll
      c:\windows\system32\gjigtjas.dll
      c:\windows\system32\gxdqnt.dll
      c:\windows\system32\IEDFix.C.exe
      c:\windows\system32\IEDFix.exe
      c:\windows\system32\mcrh.tmp
      c:\windows\system32\o4Patch.exe
      c:\windows\system32\pjxhqmgs.ini
      c:\windows\system32\pozimadu.dll
      c:\windows\system32\Process.exe
      c:\windows\system32\qgkqvwhv.dll
      c:\windows\system32\qxhgcb.dll
      c:\windows\system32\sajtgijg.ini
      c:\windows\system32\sgmqhxjp.dll
      c:\windows\system32\SrchSTS.exe
      c:\windows\system32\susonuno.dll
      c:\windows\system32\tmp.reg
      c:\windows\system32\ttAGPXyb.ini
      c:\windows\system32\ttAGPXyb.ini2
      c:\windows\system32\VACFix.exe
      c:\windows\system32\VCCLSID.exe
      c:\windows\system32\wejeduwa.dll
      c:\windows\system32\WS2Fix.exe
      c:\windows\system32\xgrcmd.dll
      c:\windows\system32\zidewomi.dll
      c:\windows\Tasks\owouamao.job

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-09 au 2008-12-09 ))))))))))))))))))))))))))))))))))))
      .

      2008-12-09 18:18 . 2008-12-09 18:18 <REP> d-------- c:\windows\ERUNT
      2008-12-09 18:10 . 2008-12-09 18:30 <REP> d-------- C:\SDFix
      2008-12-08 17:53 . 2008-12-08 17:53 <REP> d-------- c:\program files\TELE2
      2008-12-08 00:26 . 2008-12-08 00:26 <REP> d-------- C:\VundoFix Backups
      2008-12-06 18:23 . 2008-12-06 18:23 <REP> d-------- C:\clins
      2008-12-04 08:16 . 2003-11-04 15:11 159,744 --a------ c:\windows\system32\lfpng13n.dll
      2008-12-03 21:28 . 2008-12-03 21:32 <REP> d-------- c:\program files\Yahoo!
      2008-12-03 21:28 . 2008-12-03 21:29 <REP> d-------- c:\program files\CCleaner
      2008-12-03 16:43 . 2008-12-08 16:47 149 --a------ c:\windows\wininit.ini
      2008-12-03 16:10 . 2008-12-03 21:35 <REP> d-------- c:\program files\Spybot - Search & Destroy
      2008-12-03 16:10 . 2008-12-08 20:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2008-12-02 19:51 . 2008-12-03 23:16 <REP> d-------- c:\program files\MSNFix
      2008-12-02 19:24 . 2008-12-02 19:24 <REP> d--h----- c:\windows\PIF
      2008-11-30 15:57 . 2008-11-30 15:57 <REP> d--h----- c:\windows\system32\GroupPolicy
      2008-11-29 16:05 . 2008-11-29 16:06 <REP> d-------- c:\program files\PhotoFiltre Studio
      2008-11-29 16:05 . 2008-11-29 16:05 45 ---h----- c:\windows\dsez0211.dat
      2008-11-26 15:11 . 2008-11-26 15:11 <REP> d-------- c:\program files\Google
      2008-11-24 14:33 . 2008-12-09 18:10 754 --a------ c:\windows\WORDPAD.INI
      2008-11-22 13:02 . 2008-12-02 19:35 <REP> d-------- c:\program files\a-squared Free
      2008-11-22 10:51 . 2004-05-14 16:53 462,848 --a------ c:\windows\system32\ltkrn13n.dll
      2008-11-22 10:51 . 2004-05-14 16:53 450,560 --a------ c:\windows\system32\ltimg13n.dll
      2008-11-22 10:51 . 2004-05-14 16:53 401,408 --a------ c:\windows\system32\lfcmp13n.dll
      2008-11-22 10:51 . 2004-05-14 16:53 299,008 --a------ c:\windows\system32\ltdis13n.dll
      2008-11-22 10:51 . 2004-01-12 02:09 206,336 --a------ c:\windows\system32\ltefx13n.dll
      2008-11-22 10:51 . 2004-05-14 16:53 163,840 --a------ c:\windows\system32\ltfil13n.dll
      2008-11-22 10:51 . 2003-11-04 15:10 69,632 --a------ c:\windows\system32\lfgif13n.dll
      2008-11-22 10:51 . 2004-05-14 16:53 57,344 --a------ c:\windows\system32\lfbmp13n.dll
      2008-11-22 00:09 . 2008-11-22 00:27 <REP> d-------- c:\program files\PhotoFiltre
      2008-11-21 19:16 . 2008-11-21 19:16 <REP> d-------- c:\windows\Sun
      2008-11-21 19:16 . 2008-11-21 19:15 410,976 --a------ c:\windows\system32\deploytk.dll
      2008-11-21 19:16 . 2008-11-21 19:15 73,728 --a------ c:\windows\system32\javacpl.cpl
      2008-11-21 19:15 . 2008-11-21 19:15 <REP> d-------- c:\program files\Java
      2008-11-19 14:34 . 2008-11-19 14:34 <REP> d-------- c:\program files\Ubisoft
      2008-11-17 19:11 . 2008-05-09 11:55 512,000 -----c--- c:\windows\system32\dllcache\jscript.dll
      2008-11-17 19:11 . 2008-05-09 11:55 430,080 -----c--- c:\windows\system32\dllcache\vbscript.dll
      2008-11-17 19:11 . 2008-05-09 11:55 180,224 -----c--- c:\windows\system32\dllcache\scrobj.dll
      2008-11-17 19:11 . 2008-05-09 11:55 172,032 -----c--- c:\windows\system32\dllcache\scrrun.dll
      2008-11-17 19:11 . 2008-05-08 12:24 155,648 -----c--- c:\windows\system32\dllcache\wscript.exe
      2008-11-17 19:11 . 2008-05-10 00:25 135,168 -----c--- c:\windows\system32\dllcache\wshom.ocx
      2008-11-17 19:11 . 2008-05-07 10:07 135,168 -----c--- c:\windows\system32\dllcache\cscript.exe
      2008-11-17 19:05 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
      2008-11-17 19:05 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
      2008-11-17 19:05 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
      2008-11-17 17:27 . 2008-11-17 17:27 <REP> d-------- c:\program files\Pellemele
      2008-11-16 17:55 . 2008-11-16 17:55 <REP> d-------- c:\program files\Red Storm Entertainment
      2008-11-16 17:55 . 2008-11-19 14:45 <REP> d--h----- c:\program files\InstallShield Installation Information
      2008-11-16 16:39 . 2008-11-22 12:44 <REP> d-------- c:\documents and settings\jp\Application Data\AdobeUM
      2008-11-16 16:38 . 2008-11-16 16:38 <REP> d-------- c:\program files\Fichiers communs\Adobe
      2008-11-16 16:30 . 2008-11-16 16:30 <REP> d-------- c:\windows\Cache
      2008-11-16 14:16 . 2008-11-16 14:16 <REP> d-------- c:\documents and settings\All Users\Application Data\nView_Profiles
      2008-11-16 12:20 . 2008-11-16 12:20 <REP> d-------- c:\program files\Mouse
      2008-11-16 11:38 . 2008-12-09 14:52 <REP> d-------- c:\program files\eMule
      2008-11-16 11:30 . 2008-11-16 12:53 <REP> d-------- c:\program files\Dofus
      2008-11-16 01:56 . 2008-11-16 01:56 <REP> d-------- c:\windows\system32\LogFiles
      2008-11-16 01:47 . 2008-11-16 01:47 <REP> d-------- c:\windows\system32\fr
      2008-11-16 01:47 . 2008-11-16 01:47 <REP> d-------- c:\windows\system32\bits
      2008-11-16 01:47 . 2008-11-16 01:47 <REP> d-------- c:\windows\l2schemas
      2008-11-16 01:43 . 2008-11-16 01:47 <REP> d-------- c:\windows\ServicePackFiles
      2008-11-16 01:21 . 2007-06-26 07:00 572,557 -----c--- c:\windows\system32\dllcache\rtuner.wmv
      2008-11-16 01:20 . 2008-04-14 03:33 1,737,856 --------- c:\windows\system32\mtxparhd.dll
      2008-11-16 01:19 . 2004-08-03 22:41 1,041,536 --------- c:\windows\system32\drivers\hsfdpsp2.sys
      2008-11-16 01:18 . 2008-11-16 01:18 <REP> d-------- c:\program files\Fichiers communs\Nero
      2008-11-16 01:18 . 2008-04-14 03:33 1,888,992 --------- c:\windows\system32\ati3duag.dll
      2008-11-16 01:15 . 2008-11-16 01:15 <REP> d-------- c:\program files\Fichiers communs\Ahead
      2008-11-16 01:15 . 2004-07-26 17:16 1,568,768 --------- c:\windows\system32\ImagX7.dll
      2008-11-16 01:15 . 2004-07-26 17:16 476,320 --------- c:\windows\system32\ImagXpr7.dll
      2008-11-16 01:15 . 2004-07-26 17:16 471,040 --------- c:\windows\system32\ImagXRA7.dll
      2008-11-16 01:15 . 2004-07-26 17:16 262,144 --------- c:\windows\system32\ImagXR7.dll
      2008-11-16 01:15 . 2001-07-09 11:50 155,648 --a------ c:\windows\system32\NeroCheck.exe
      2008-11-16 01:15 . 2000-06-26 11:45 106,496 --a------ c:\windows\system32\TwnLib20.dll
      2008-11-16 01:14 . 2008-11-16 01:15 <REP> d-------- c:\program files\Ahead
      2008-11-16 00:58 . 2008-11-16 17:48 <REP> d-------- c:\program files\Steam
      2008-11-16 00:45 . 2008-04-13 19:46 85,248 --a------ c:\windows\system32\drivers\nabtsfec.sys
      2008-11-16 00:45 . 2008-04-13 19:45 60,032 --a------ c:\windows\system32\drivers\usbaudio.sys
      2008-11-16 00:45 . 2008-04-13 19:46 19,200 --a------ c:\windows\system32\drivers\wstcodec.sys
      2008-11-16 00:45 . 2008-04-13 19:46 17,024 --a------ c:\windows\system32\drivers\ccdecode.sys
      2008-11-16 00:45 . 2008-04-14 03:34 16,384 --a------ c:\windows\system32\ipsink.ax
      2008-11-16 00:45 . 2008-04-13 19:46 15,232 --a------ c:\windows\system32\drivers\streamip.sys
      2008-11-16 00:45 . 2008-04-13 19:46 11,136 --a------ c:\windows\system32\drivers\slip.sys
      2008-11-16 00:45 . 2008-04-13 19:46 10,880 --a------ c:\windows\system32\drivers\ndisip.sys
      2008-11-16 00:45 . 2008-04-13 19:39 5,504 --a------ c:\windows\system32\drivers\mstee.sys
      2008-11-16 00:44 . 2008-04-14 03:34 92,160 --a------ c:\windows\system32\kswdmcap.ax
      2008-11-16 00:44 . 2008-04-14 03:34 61,952 --a------ c:\windows\system32\kstvtune.ax
      2008-11-16 00:44 . 2008-04-14 03:33 54,784 --a------ c:\windows\system32\vfwwdm32.dll
      2008-11-16 00:44 . 2008-04-14 03:34 43,008 --a------ c:\windows\system32\ksxbar.ax
      2008-11-16 00:44 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
      2008-11-16 00:44 . 2008-04-14 03:34 28,672 --a------ c:\windows\system32\vidcap.ax
      2008-11-16 00:40 . 2008-11-16 00:40 <REP> d-------- c:\program files\Avira
      2008-11-16 00:21 . 2008-11-16 00:21 <REP> d-------- c:\windows\Web
      2008-11-16 00:19 . 2008-10-03 18:12 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
      2008-11-16 00:19 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
      2008-11-16 00:19 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
      2008-11-16 00:19 . 2008-08-26 09:11 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
      2008-11-16 00:19 . 2008-08-26 09:11 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
      2008-11-16 00:19 . 2008-08-26 09:11 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
      2008-11-16 00:19 . 2008-08-26 09:11 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
      2008-11-16 00:19 . 2008-08-26 09:11 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
      2008-11-16 00:19 . 2008-08-25 09:38 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
      2008-11-16 00:18 . 2008-11-16 01:47 <REP> d-------- c:\windows\system32\fr-fr
      2008-11-15 23:56 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
      2008-11-15 23:51 . 2008-11-16 01:43 <REP> d-------- c:\documents and settings\jp\Contacts
      2008-11-15 23:50 . 2008-04-13 19:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
      2008-11-15 23:49 . 2008-11-20 20:32 <REP> d--h----- C:\BJPrinter
      2008-11-15 23:49 . 2004-05-21 06:00 116,736 --a------ c:\windows\system32\CNMLM66.DLL
      2008-11-15 23:49 . 2004-03-11 17:06 86,016 --a------ c:\windows\system32\CNMCP66.exe
      2008-11-15 23:49 . 2004-05-21 06:00 7,680 --a------ c:\windows\system32\CNMVS66.DLL
      2008-11-15 23:48 . 2008-11-28 16:30 <REP> d-------- c:\program files\Windows Live Safety Center
      2008-11-15 23:47 . 2008-11-15 23:47 <REP> d----c--- c:\windows\system32\DRVSTORE
      2008-11-15 23:47 . 2008-11-16 00:45 <REP> d-------- c:\program files\Fichiers communs\LogiShrd
      2008-11-15 23:47 . 2007-10-12 02:55 1,279,000 --a------ c:\windows\system32\drivers\LV302V32.SYS
      2008-11-15 23:47 . 2007-10-12 03:00 490,008 --a------ c:\windows\system32\LVUI2.dll
      2008-11-15 23:47 . 2007-10-12 03:00 465,432 --a------ c:\windows\system32\LVUI2RC.dll
      2008-11-15 23:47 . 2007-10-12 02:57 416,280 --a------ c:\windows\system32\lvcodec2.dll
      2008-11-15 23:47 . 2007-10-12 02:57 195,096 --a------ c:\windows\system32\lvci1150.dll
      2008-11-15 23:47 . 2007-10-12 02:11 59,500 --a------ c:\windows\system32\lvcoinst.ini
      2008-11-15 23:47 . 2007-10-12 03:00 41,752 --a------ c:\windows\system32\drivers\LVUSBSta.sys
      2008-11-15 23:47 . 2007-10-12 02:18 21,138 --a------ c:\windows\system32\Repository.reg
      2008-11-15 23:47 . 2007-10-12 02:55 13,848 --a------ c:\windows\system32\drivers\lv302af.sys
      2008-11-15 23:45 . 2008-11-16 00:06 <REP> d-------- C:\pilots
      2008-11-15 23:45 . 2008-11-17 17:25 <REP> d-------- C:\logiciels
      2008-11-15 23:41 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
      2008-11-15 23:41 . 2008-06-14 18:33 272,768 --------- c:\windows\system32\drivers\bthport.sys
      2008-11-15 23:41 . 2008-06-14 18:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
      2008-11-15 23:41 . 2008-08-14 11:04 138,496 -----c--- c:\windows\system32\dllcache\afd.sys
      2008-11-15 23:39 . 2008-11-15 23:47 <REP> d-------- c:\program files\Windows Live

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-11-16 16:55 --------- d-----w c:\program files\Fichiers communs\InstallShield
      2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
      "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-11 7311360]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-11-11 86016]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-21 136600]
      "nwiz"="nwiz.exe" [2005-11-11 c:\windows\system32\nwiz.exe]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "WUAppSetup"="c:\program files\Fichiers communs\logishrd\WUApp32.exe" [2007-10-12 439568]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=cnoawz.dll qxhgcb.dll,c:\windows\system32\pozimadu.dll xgrcmd.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.l3acm"= l3codecp.acm
      "vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
      "vidc.hfyu"= huffyuv.dll
      "msacm.divxa32"= DivXa32.acm
      "vidc.wmv3"= c:\progra~1\COMBIN~1\Filters\wmv9vcm.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
      --a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
      --a------ 2008-11-16 01:59 1410296 c:\program files\Steam\Steam.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "UpdatesDisableNotify"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
      "c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "c:\\Program Files\\eMule\\emule.exe"=
      "c:\\Program Files\\Red Storm Entertainment\\Ghost Recon\\GhostRecon.exe"=
      "c:\\Program Files\\Pellemele\\mcoviewer1.2.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
      "AllowInboundEchoRequest"= 1 (0x1)

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2002-01-01 110160]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2002-01-01 20560]
      R3 Amps2prt;Compatible PS/2 Port Mouse Driver;c:\windows\system32\DRIVERS\Amps2prt.sys [2002-03-18 9216]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      BHO-{06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
      BHO-{0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
      BHO-{257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
      BHO-{30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
      BHO-{332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
      BHO-{4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
      BHO-{4d9f9385-e56b-442d-b246-f018db482138} - (no file)
      BHO-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
      BHO-{81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
      BHO-{8A2C12DF-F6B4-4D74-9102-C6278B32659F} - c:\windows\system32\byXPGAtt.dll
      BHO-{c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - c:\windows\system32\xgrcmd.dll
      BHO-{c9d90991-c4dc-4f05-a2b1-83a23a4045be} - c:\windows\system32\zidewomi.dll
      BHO-{cbfae4d5-72a9-4c54-a115-e48edda387fd} - c:\windows\system32\cnoawz.dll
      BHO-{E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
      BHO-{F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
      BHO-{F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
      BHO-{F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
      BHO-{FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
      HKLM-Run-migajomabi - c:\windows\system32\susonuno.dll
      HKLM-Run-WheelMouse - Amoumain.exe
      Notify-ssqOGwUn - (no file)
      MSConfigStartUp-avgnt - c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe



      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-09 20:48:38
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\a-squared Free\a2service.exe
      c:\program files\Java\jre6\bin\jqs.exe
      c:\windows\system32\nvsvc32.exe
      c:\windows\system32\tcpsvcs.exe
      c:\windows\system32\wscntfy.exe
      c:\windows\system32\wbem\wmiapsrv.exe
      c:\program files\Mouse\Amoumain.exe
      .
      **************************************************************************
      .
      Heure de fin: 2008-12-09 20:51:11 - La machine a redémarré
      ComboFix-quarantined-files.txt 2008-12-09 19:51:08

      Avant-CF: 133 337 792 512 octets libres
      Après-CF: 133,277,110,272 octets libres

      277 --- E O F --- 2008-11-17 19:33:20

      houpps!! petit question au passage : la protection resident de spybot me signale a chaque redemarrage que une valeur base de registre "migajomabi" a été modifié!? je dois accepter ou refuser la modif ? merci a toi pour tes tres précieux conseils! ca fait plaisir de pas etre seul a se depatouiller avec ces saletés! mdr
      0
  11. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Accepte pour spybot et

    Télécharges MalwareByte's anti malware :

    Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le : ici)

    Potasses le tuto pour te familiariser avec le prg :
    tuto ici
    ou ici
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnectes toi et fermes toutes applications en cours !

    Lances Malwarebyte's .

    Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

    --> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
    0
    1. jpg49
       
      re!! pfffff il a bossé malware..et pas pour rien!!lol je ojoins en + un log hitjack


      09/12/2008 22:07:58
      mbam-log-2008-12-09 (22-07-58).txt

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 90867
      Temps écoulé: 41 minute(s), 44 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 3
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 14

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\migajomabi (Trojan.Vundo.H) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Qoobox\Quarantine\C\WINDOWS\system32\aimgen.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\WINDOWS\system32\byXPGAtt.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\WINDOWS\system32\cnoawz.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\WINDOWS\system32\ehggqnxe.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\WINDOWS\system32\qxhgcb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\WINDOWS\system32\sgmqhxjp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\WINDOWS\system32\xgrcmd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000018.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000019.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000020.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000021.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000027.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000029.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{DA9A0CC7-1E5D-49D4-AFEB-90FA8CA4FB90}\RP2\A0000032.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

      _____________________________________________________________________________________________Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:11:07, on 09/12/2008
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16735)
      Boot mode: Safe mode

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Documents and Settings\jp\Mes documents\Mes fichiers reçus\scanner.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
      O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
      O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
      O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
      O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
      O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
      O2 - BHO: (no name) - {4d9f9385-e56b-442d-b246-f018db482138} - (no file)
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
      O2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
      O2 - BHO: (no name) - {8A2C12DF-F6B4-4D74-9102-C6278B32659F} - (no file)
      O2 - BHO: (no name) - {c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - (no file)
      O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - (no file)
      O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - (no file)
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
      O2 - BHO: (no name) - {F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
      O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
      O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
      O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'Default user')
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
      O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1227291321337&h=43d0202f88e070372462560b3e8d302d/&filename=jinstall-6u10-windows-i586-jc.cab
      O20 - AppInit_DLLs: cnoawz.dll qxhgcb.dll,C:\WINDOWS\system32\pozimadu.dll xgrcmd.dll
      O20 - Winlogon Notify: ssqOGwUn - C:\WINDOWS\
      O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
      O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
      O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
      0
  12. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Bien... relance HJK fait do a system scan only

    Coche ces lignes

    O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
    O2 - BHO: (no name) - {F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
    O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
    O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
    O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
    2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
    O2 - BHO: (no name) - {8A2C12DF-F6B4-4D74-9102-C6278B32659F} - (no file)
    O2 - BHO: (no name) - {c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - (no file)
    O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - (no file)
    O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - (no file)
    O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
    O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
    O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
    O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
    O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
    O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
    O2 - BHO: (no name) - {4d9f9385-e56b-442d-b246-f018db482138} - (no file)


    Et fait fix checked
    0
    1. jpg49
       
      voila!! c est fait ! je refais un hijackthis ? ou je brule mon pc? ou un ti coup de baygon? en tout cas ca a l air d'aller nivo clavier et plus d aletre ni d antivir ni de spybot! c est le calme avant la tourmente ou le plus gros est passé?
      0
  13. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
    Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
    - On va te demander de télécharger un contôle active x, accepte .
    - Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
    - Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ...

    --> tuto :
    https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
    0
    1. jpg49
       
      re! j ai fait le scan en ligne kapersky! il a rien trouvé mais j ai pas trouver le rapport !mais c'etait clean pour lui en tout cas! ca le fait??
      0
      1. jpg49 > jpg49
         
        Salut ! en fait j ai causé trop vite:( le scan en ligne avec kapersky a rien donné mais apres j ai reactivé antivir xp et lui m'a donné 2 alertes virtumonde a nouveau! que ce soit la mise en quarantaine ou la suppresion antivir semble pas a l aise avec ce trojan!
        0
      2. jpg49 > jpg49
         
        re Kevin !!je te repost un log hijackthis fait en mode sans echec! je rêve ou les lignes que tu m'as donné a "fixed" sont de retour!!
        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 13:22:10, on 10/12/2008
        Platform: Windows XP SP3 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16735)
        Boot mode: Safe mode

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\ctfmon.exe
        C:\Documents and Settings\jp\Mes documents\Mes fichiers reçus\scanner.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
        O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
        O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
        O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
        O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
        O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
        O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
        O2 - BHO: (no name) - {4d9f9385-e56b-442d-b246-f018db482138} - (no file)
        O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
        O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
        O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
        O2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
        O2 - BHO: (no name) - {8A2C12DF-F6B4-4D74-9102-C6278B32659F} - (no file)
        O2 - BHO: (no name) - {c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - (no file)
        O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - (no file)
        O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - (no file)
        O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
        O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
        O2 - BHO: (no name) - {F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
        O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
        O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
        O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
        O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
        O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
        O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
        O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
        O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
        O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08da -f video -m logitech -d 11.5.0.1145 (User 'Default user')
        O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
        O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
        O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
        O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
        O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
        O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
        O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?e=1227291321337&h=43d0202f88e070372462560b3e8d302d/&filename=jinstall-6u10-windows-i586-jc.cab
        O20 - AppInit_DLLs: cnoawz.dll qxhgcb.dll,C:\WINDOWS\system32\pozimadu.dll xgrcmd.dll
        O20 - Winlogon Notify: ssqOGwUn - C:\WINDOWS\
        O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
        O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
        O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
        O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
        O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
        O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
        0
  14. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    relance HJK en mode sans echec fait do a system scan only

    Coche ces lignes

    O2 - BHO: (no name) - {E6152C75-4FCB-45F0-9F36-E6582888A3B9} - (no file)
    O2 - BHO: (no name) - {F2EE5D14-E817-44AF-ADB3-E94E0B9A80B0} - (no file)
    O2 - BHO: (no name) - {F3BCE3CF-33C6-43F1-A728-D3B551D2BE7D} - (no file)
    O2 - BHO: (no name) - {F507FD2C-0813-4AAA-9639-DF9835E0D24D} - (no file)
    O2 - BHO: (no name) - {FB48D972-649C-45DF-82D5-92A257D80EA6} - (no file)
    2 - BHO: (no name) - {81BD2F8C-14C8-47F9-A015-384100443ECE} - (no file)
    O2 - BHO: (no name) - {8A2C12DF-F6B4-4D74-9102-C6278B32659F} - (no file)
    O2 - BHO: (no name) - {c1c8a6c2-1b5b-4176-8f54-7a425019d0b6} - (no file)
    O2 - BHO: (no name) - {c9d90991-c4dc-4f05-a2b1-83a23a4045be} - (no file)
    O2 - BHO: (no name) - {cbfae4d5-72a9-4c54-a115-e48edda387fd} - (no file)
    O2 - BHO: (no name) - {06862337-7DFE-461B-AF36-9B4C86A0E7C2} - (no file)
    O2 - BHO: (no name) - {0A76E648-F9ED-4D23-BD95-D70BCCD8328D} - (no file)
    O2 - BHO: (no name) - {257D09BF-9428-4210-A556-8CEA2041AA0D} - (no file)
    O2 - BHO: (no name) - {30CFCA69-DFDE-4640-8CEB-A388FF6F656C} - (no file)
    O2 - BHO: (no name) - {332A1618-8AEC-4E94-8832-4B2B97983DF3} - (no file)
    O2 - BHO: (no name) - {4B4E80FC-F0FD-4709-BE52-268EB1EB9AD6} - (no file)
    O2 - BHO: (no name) - {4d9f9385-e56b-442d-b246-f018db482138} - (no file)

    Et fait fix checked

    Télécharge Ad-remover ( de C_XX ) sur ton bureau ( et pas ailleurs!) :

    http://sd-1.archive-host.com/membres/up/16506160323759868/AD­-R.exe

    ! Déconnecte toi et ferme toutes applications en cours !

    * Clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installe par défaut .
    * Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
    * Au menu principal choisis l'option "A" et tape sur [entrée] .

    Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report.log )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. jpg49
       
      re!!

      --------- Logfile of AD-Remover 1.0.7.1 by C_XX ---------

      # START at: 14:10:04 | 10/12/2008 | Microsoft® Windows XP™ (v5.1.2600)
      # BOOT MODE: MSE

      # OPTION: Scan | EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat

      # PC: ATHLON | USER: jp ( Current user is an administrator)

      # DRIVE(S): A:\
      # Systemdrive: C:\ (NTFS)
      # Internet Explorer v7.0.5730.13

      --------- [ RUNNING PROCESSES: 10 ] ---------

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\ctfmon.exe

      -----------------------------------


      +-----------------------| Boonty/Boonty Games Elements found :

      .

      +-----------------------| Eorezo Elements found :

      .

      +-----------------------| Everest Poker Elements found :

      .

      +-----------------------| FunWebProducts/MyWay/MyWebSearch/MyGlobalSearch Elements found :

      .

      +-----------------------| Messenger Skinner Elements found :

      .

      +-----------------------| Sweetim Elements found :

      .

      +-----------------------| ADDED SCAN :

      +--[HKEY_CURRENT_USER\..\Run]

      ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
      SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

      +--[HKEY_LOCAL_MACHINE\..\Run]

      NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      nwiz REG_SZ nwiz.exe /install
      NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
      avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

      +--[HKEY_USERS\.DEFAULT\..\Run]

      CTFMON.EXE REG_SZ C:\WINDOWS\system32\CTFMON.EXE

      +--[HKEY_CURRENT_USER\..\Internet Explorer\MAIN]

      Start Page : hxxp://www.google.fr/

      +--[HKEY_LOCAL_MACHINE\..\Internet Explorer\MAIN]

      Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

      +---------------------------------------------------------------------------+

      - "C:\AD-report-10.12.2008.log" (2221 octets)

      [ END at: 14:10:22 | 10/12/2008 ] - [ Time elapsed: 18.1 seconds ]

      +---------------------------------------------------------------------------+
      +------------------------------- [ E.O.F - 49 lines ]
      +---------------------------------------------------------------------------+

      ET avant j ai fixed les lignes que tu m'as donné! merci! et j'attend la suite! si suite il y a !!!!
      0
      1. jpg49 > jpg49
         
        re! encore une alerte antivir xp qui me signale le TR/Vundo.Gen dans C:\systeme Volume Information \....\A0000023.dll si ca peut t'aider!! ++
        0
  15. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Telecharge http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
    UsbFix
    sur ton bureau
    --> Lance l installation avec les parametres par default

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    --> Double clic sur le raccourci UsbFix sur ton bureau

    --> Le pc va redémarer

    -->Apres redémarrage post le rapport UsbFix.txt

    Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
    0
  16. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Télécharges MalwareByte's anti malware :

    Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le : ici)

    Potasses le tuto pour te familiariser avec le prg :
    tuto ici
    ou ici
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnectes toi et fermes toutes applications en cours !

    Lances Malwarebyte's .

    Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

    --> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
    0
    1. jpg49
       
      voila le rapport usbfix!! je fais ensuite un scan malwarebytes........


      -------------- UsbFix V2.413.3 ---------------

      * User : jp - ATHLON
      * Outils mis a jours le 06/12/2008 par Chiquitine29 et Chimay8
      * Recherche effectuée à 14:59:08 le 10/12/2008
      * Windows Xp - Internet Explorer 7.0.5730.13


      --------------- [ Processus actifs ] ----------------


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\DOCUME~1\jp\LOCALS~1\Temp\1.tmp\b2e.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
      C:\Program Files\a-squared Free\a2service.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\nvsvc32.exe

      --------------- [ Informations lecteurs ] ----------------

      C: - Lecteur fixe

      D: - Lecteur de CD-ROM

      E: - Lecteur de CD-ROM


      +- Contenu de l'autorun : D:\autorun.inf

      [autorun]
      open=FarCryAutoCD.exe
      icon=FarCry.exe, 0




      +- Contenu de l'autorun : E:\autorun.inf

      [autorun]
      open=launcher.exe


      --------------- [ Lecteur C ] ----------------

      C: - Lecteur fixe


      +- Listing des fichiers présents :

      [01/01/2002 02:53][--a------] C:\AUTOEXEC.BAT
      [03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
      [07/12/2008 09:57][---hs----] C:\boot.ini
      [09/12/2008 20:51][--a------] C:\ComboFix.txt
      [09/12/2008 20:51][--a------] C:\rapport.txt
      [09/12/2008 20:51][--a------] C:\UsbFix.txt
      [09/12/2008 20:51][--a------] C:\VundoFix.txt
      [01/01/2002 02:53][--a------] C:\CONFIG.SYS
      [01/01/2002 02:53][--a------] C:\IO.SYS
      [01/01/2002 02:53][--a------] C:\MSDOS.SYS
      [01/01/2002 02:53][--a------] C:\pagefile.sys

      --------------- [ Lecteur D ] ----------------

      D: - Lecteur de CD-ROM


      +- Listing des fichiers présents :

      [27/02/2004 03:57][-r-------] D:\FarCry.exe
      [27/02/2004 03:57][-r-------] D:\FarCryAutoCD.exe
      [27/02/2004 03:57][-r-------] D:\setup.exe
      [15/02/2004 15:20][-r-------] D:\Autorun.inf
      [01/03/2004 09:44][-r-------] D:\SECDRV.SYS

      --------------- [ Lecteur E ] ----------------

      E: - Lecteur de CD-ROM


      +- Listing des fichiers présents :

      [30/05/2001 15:27][-r-------] E:\Launcher.exe
      [30/05/2001 15:27][-r-------] E:\Setup.exe
      [30/05/2001 15:27][-r-------] E:\ShogunW.exe
      [30/05/2001 15:27][-r-------] E:\Uninstall.exe
      [30/05/2001 15:27][-r-------] E:\_ISDel.exe
      [10/07/2001 15:14][-r-------] E:\SETUP.INI
      [02/04/2000 18:36][-r-------] E:\AUTORUN.INF
      [20/07/2001 18:06][-r-------] E:\secdrv.sys

      --------------- [ Registre / Startup ] ----------------

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
      SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
      NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      nwiz=nwiz.exe /install
      NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
      avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

      --------------- [ Registre / Mountpoint2 ] ----------------


      -> Recherche négative.

      --------------- [ Nettoyage des disques ] ----------------

      Supprimé ! - [09/12/2008 17:47][--a------] C:\WINDOWS\system32\tmp.txt
      Echec de la supression !! - [15/02/2004 15:20] D:\autorun.inf
      Echec de la supression !! - [15/02/2004 15:20] D:\autorun.inf
      Echec de la supression !! - [15/02/2004 15:20] D:\autorun.inf
      Echec de la supression !! - [02/04/2000 18:36] E:\autorun.inf
      Echec de la supression !! - [02/04/2000 18:36] E:\autorun.inf
      Echec de la supression !! - [02/04/2000 18:36] E:\autorun.inf

      --------------- [ Resumé ] ----------------

      -> /!\ Le resultat doit etre interprété par un spécialiste /!\

      [01/01/2002 02:53][--a------] C:\AUTOEXEC.BAT
      [03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
      [07/12/2008 09:57][---hs----] C:\boot.ini
      [27/02/2004 03:57][-r-------] D:\FarCry.exe
      [27/02/2004 03:57][-r-------] D:\FarCryAutoCD.exe
      [27/02/2004 03:57][-r-------] D:\setup.exe
      [15/02/2004 15:20][-r-------] D:\Autorun.inf
      [30/05/2001 15:27][-r-------] E:\Launcher.exe
      [30/05/2001 15:27][-r-------] E:\Setup.exe
      [30/05/2001 15:27][-r-------] E:\ShogunW.exe
      [30/05/2001 15:27][-r-------] E:\Uninstall.exe
      [30/05/2001 15:27][-r-------] E:\_ISDel.exe
      [10/07/2001 15:14][-r-------] E:\SETUP.INI
      [02/04/2000 18:36][-r-------] E:\AUTORUN.INF

      --------------- ! Fin du rapport ! ----------------

      ++ kevin!!
      0
      1. jpg49 > jpg49
         
        voici le rapport malwarebyte:
        Malwarebytes' Anti-Malware 1.31
        Version de la base de données: 1482
        Windows 5.1.2600 Service Pack 3

        10/12/2008 15:56:15
        mbam-log-2008-12-10 (15-56-15).txt

        Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
        Eléments examinés: 92155
        Temps écoulé: 43 minute(s), 13 second(s)

        Processus mémoire infecté(s): 0
        Module(s) mémoire infecté(s): 0
        Clé(s) du Registre infectée(s): 2
        Valeur(s) du Registre infectée(s): 0
        Elément(s) de données du Registre infecté(s): 0
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 0

        Processus mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Module(s) mémoire infecté(s):
        (Aucun élément nuisible détecté)

        Clé(s) du Registre infectée(s):
        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

        Valeur(s) du Registre infectée(s):
        (Aucun élément nuisible détecté)

        Elément(s) de données du Registre infecté(s):
        (Aucun élément nuisible détecté)

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        (Aucun élément nuisible détecté)

        ?? purée j'ai jamais fait autant de scan d 'affilé lol!!mais je commence a m'y retrouver un peu! a ton avis comment ca ce fait qu'antivir xp a laissé passer tant de trojans! mal configuré ou pas adapté a ce style de bestiole?
        merci a toute sans doute!
        0
      2. jpg49 > jpg49
         
        re!! toujours la meme alerte concernant vundo par mon antivirus! et apres verif les lignes de mon rapport hitjackthis que tu m as fait cocher et fixer sont toujours la? comment ca ce fait? merci a toi!
        0
  17. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Télécharge Vundofix.exe (par Atribune) sur ton Bureau.
    http://vundofix.atribune.org/
    * Double-clique sur VundoFix.exe afin de le lancer.
    * Clique sur le bouton Scan for Vundo.
    * Lorsque le scan est complété, clique sur le bouton fix Vundo.
    * Une invite de commande demandera si tu souhaites supprimer les fichiers, cliquer sur YES
    * Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    * Une nouvelle invite de commande annoncera que le PC devrai s'éteindre ("shutdown"). Clique sur OK , puis laisse le redémarrer.
    * Le contenu du rapport est situé dans C:\vundofix.txt,
    Poste le rapport
    0