Problème avec un malware

Bonjour,

Je vous poste mon log d'Hijackthis suite problèmes avec Malware "Antivirus xp 08"

Quelqu'un peut-il me dire ce qu'il y a encore à faire pour me débarrasser totalement de ces saloperies ,

D'avance merci

toufmag





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:51:13, on 05/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Razer\Copperhead\razertra.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.carrefour.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.carrefour.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.carrefour.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.carrefour.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {352DE506-3AB5-4BAF-AE30-B499887790FE} - C:\Windows\system32\sSMgHBTJ.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BMbbf3b551] Rundll32.exe "C:\Windows\system32\blrlqtff.dll",s
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [googletalk] C:\Users\Christophe\AppData\Roaming\Google\Google Talk\googletalk.exe /autostart
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [BMbbf3b551] Rundll32.exe "C:\Users\CHRIST~1\AppData\Local\Temp\ckjrkioy.dll",s
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 6402 bytes

Salut,

Télécharger sur le bureau Malwarebyte's Anti-Malware

=> double-clic sur mbam-setup pour lancer l'installation
=> Installer simplement sans rien modifier
=> Quand le programme lancé ==> onglet Mise à jour cliquer sur => Recherche de mise à jour
Onglet Recherche => cocher Exécuter un examen complet
=> Clic Rechercher
=> Eventuellement décocher les disque à ne pas analyser
=> Clic Lancer l'examen
=> En fin de scan , si infection trouvée
==> Clic Afficher résultat
=> Fermer vos applications en cours
=> Vérifier si tout est coché et clic Supprimer la sélection

=> un rapport s'ouvre le copier et le coller dans la réponse

+

Télécharger et enregistrer sur le bureau Combofix

=> Désactive l'antivirus
=> Double-clic sur Combofix
=> Presser 1 quand demandé
=> Attendre la fermeture de l’outil ( 5 à 10 mn)
=> Copier/coller le rapport dans la réponse
=> Un rapport dans C:\Combofix.txt à mettre dans la réponse
=> Qoobox dans C:\ à supprimer

+

Un nouveau Hijack

ok merci je fais ça

Ajout du 05-08-2008 à 22:59:

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1027
Windows 6.0.6001 Service Pack 1

22:59:00 05/08/2008
mbam-log-8-5-2008 (22-59-00).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 166560
Temps écoulé: 1 hour(s), 3 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\sSMgHBTJ.dll (Trojan.Vundo) -> Delete on reboot.
C:\Users\Christophe\AppData\Local\Temp\ckjrkioy.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{352de506-3ab5-4baf-ae30-b499887790fe} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{352de506-3ab5-4baf-ae30-b499887790fe} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmbbf3b551 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmbbf3b551 (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\ssmghbtj -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ssmghbtj -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\sSMgHBTJ.dll (Trojan.Vundo) -> Delete on reboot.
C:\Windows\System32\JTBHgMSs.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\JTBHgMSs.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Temp\ckjrkioy.dll (Trojan.Vundo) -> Delete on reboot.
C:\Windows\System32\blrlqtff.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3TXDFFL0\kb671231[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3TXDFFL0\kb767887[1] (Trojan.Vundo) -> Delete on reboot.
C:\Users\Christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EJ29ISK0\kb456456[1] (Trojan.Vundo) -> Delete on reboot.
C:\Users\Christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EJ29ISK0\kb767887[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\EJ29ISK0\kb767887[2] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PYUZ11YH\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z7BKXRKX\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Z7BKXRKX\kb671231[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Temp\rmnigiji.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Christophe\AppData\Local\Temp\sbitfegr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


Ajout du 05-08-2008 à 23:19:

Combofix n'a pas l'air de fonctionner sous vista

Euh defois il beug , arrète le , et re lance le !

++

P.S.: N'oublie pas le new rapport Hijack

Il me dit : une référence a été renvoyée par le serveur

Et ça doit me permettre de le lancer ce tuto , Parce que s'il ne veut il ne veut pas

Le  6-08-2008 à 08:10, Toufmag :
Et ça doit me permettre de le lancer ce tuto , Parce que s'il ne veut il ne veut pas

en théorie..je ne connais pas ce programme
mais il n'y a pas de raison qu'il ne fonctionne pas sous Vista

Ajout du 06-08-2008 à 08:16:

Le  6-08-2008 à 08:14, tarzoum95 :

Le  6-08-2008 à 08:10, Toufmag :
Et ça doit me permettre de le lancer ce tuto , Parce que s'il ne veut il ne veut pas

en théorie..je ne connais pas ce programme
mais il n'y a pas de raison qu'il ne fonctionne pas sous Vista

forum.telecharger.01net.com/microhebdo/questions-techniques-diverses/tuto-securite/renommer-combofix-353849/messages-1.html

(Modifié par tarzoum95 le 06-08-2008 à 08:17)

ok mais ce programme me fait un peu peur quand on voit les avertissements

Télécharger et enregistrer sur le bureau Combofix

curieux:up.sur-la-toile.com/ihmn
simple constat!

Ajout du 06-08-2008 à 08:54:

Le  6-08-2008 à 08:27, Toufmag :
ok mais ce programme me fait un peu peur quand on voit les avertissements

pour l'instant, aucuns problèmes de signalés par les utilisateurs