La discussion « Divers virus, connexions non souhaitées etc. » se trouve dans le forum « Virus, troyens, etc... »
Statut de la discussion » Divers virus, connexions non souhaitées etc. « ( résolue)

Divers virus, connexions non souhaitées etc.

Page:

Le  4-07-2007 à 02:41 #

Salut à tous !

Comme indiqué dnas le titre du sujet, j'ai divers virus présent sur mon PC. Je possède dorénavant avast et ZoneAlarm mais ils ont été installés après l'infection. Avast ne parvient pas à supprimer durablement certains fichiers infectés (secdrv.sys surtout). Apparement je semble infecté par Tiny-HZ, Agent-ISI Conhook, Ranky etc. (aussi Sality, il y a quelques jours) qui se retrouvent aussi présent dans des backup du registre.

J'ai déjà supprimé de nombreux virus mais j'ai toujours des problèmes avec l'ouverture fréquente de fenêtre iexplore alors que j'utilise firefox. De plus, j'ai des publicités même avec firefox (et son système anti popup) à propos d'antivirus à installer etc.. De plus, je ne parviens plus à ouvrir internet explorer, celui-ci bug à l'ouverture et me ferme la fenêtre. Aussi, la connexion s'arrête parfois sans prévenir (je suis en adsl), aucune erreur n'est aff mais je ne peux plus du tout me servir d'internet ni faire le "réparer la connexion" dans la fenêtre de "connexions réseau".

J'ai de maigres connaissances en informatique et je m'adresse à vous dans l'espoir que vous m'aidiez à résoudre ces divers soucis. Bien sûr, avant j'ai déjà parcouru de nombreux topics à ce sujet ici et ailleurs et là je ne vois plus quoi faire d'autre.

J'ai fait un scan hijackthis et l'ai soumis au site internet hijackthis.de mais j'aimerai avant toute action avoir l'avis de spécialistes.

Le log :
Code: 
  1.   Logfile of HijackThis v1.99.1

  2.   Scan saved at 02:33:14, on 04/07/2007

  3.   Platform: Windows XP  (WinNT 5.01.2600)

  4.   MSIE: Internet Explorer v6.00 (6.00.2600.0000)

  5.   

  6.   Running processes:

  7.   C:\WINDOWS\System32\smss.exe

  8.   C:\WINDOWS\system32\winlogon.exe

  9.   C:\WINDOWS\system32\services.exe

  10.   C:\WINDOWS\system32\savedump.exe

  11.   C:\WINDOWS\system32\lsass.exe

  12.   C:\WINDOWS\system32\svchost.exe

  13.   C:\WINDOWS\System32\svchost.exe

  14.   C:\WINDOWS\system32\ZoneLabs\vsmon.exe

  15.   C:\WINDOWS\Explorer.EXE

  16.   C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe

  17.   C:\WINDOWS\SOUNDMAN.EXE

  18.   C:\Program Files\VIA\RAID\raid_tool.exe

  19.   C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

  20.   C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

  21.   C:\WINDOWS\System32\ctfmon.exe

  22.   C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\espmain.exe

  23.   C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

  24.   C:\Program Files\Alwil Software\Avast4\ashServ.exe

  25.   C:\WINDOWS\System32\svchost.exe

  26.   C:\WINDOWS\System32\svchost.exe

  27.   C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

  28.   C:\Documents and Settings\Diouf\Bureau\hijackthis\HijackThis.exe

  29.   

  30.   R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

  31.   R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

  32.   O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

  33.   O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

  34.   O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

  35.   O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe

  36.   O4 - HKLM\..\Run: [MemoryCardManager] C:\Program Files\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup

  37.   O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

  38.   O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

  39.   O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe

  40.   O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

  41.   O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

  42.   O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

  43.   O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe

  44.   O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe

  45.   O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe

  46.   O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

  47.   O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

  48.   O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

  49.   O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

  50.   O4 - HKLM\..\Run: [Windows Update] ssms.exe

  51.   O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

  52.   O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

  53.   O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\System32\yrskmfgn.dll",forkonce

  54.   O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe

  55.   O4 - HKLM\..\RunServices: [Windows Update] ssms.exe

  56.   O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

  57.   O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

  58.   O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\espmain.exe

  59.   O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

  60.   O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

  61.   O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

  62.   O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

  63.   O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

  64.   O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

  65.   O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

  66.   O17 - HKLM\System\CCS\Services\Tcpip\..\{2E4CF4B3-7E47-44D9-BC34-27A796037A4B}: NameServer = 212.27.32.176,212.27.32.177

  67.   O17 - HKLM\System\CS2\Services\Tcpip\..\{2E4CF4B3-7E47-44D9-BC34-27A796037A4B}: NameServer = 212.27.32.176,212.27.32.177

  68.   O17 - HKLM\System\CS3\Services\Tcpip\..\{2E4CF4B3-7E47-44D9-BC34-27A796037A4B}: NameServer = 212.27.32.176,212.27.32.177

  69.   O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

  70.   O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

  71.   O20 - AppInit_DLLs: c:\windows\system32\awvvttu.dll

  72.   O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

  73.   O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

  74.   O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

  75.   O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

  76.   O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

  77.   O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\gmtqtxpy.exe (file missing)

  78.   O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver50\Intel 32\IDriverT.exe

  79.   O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)

  80.   O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)

  81.   O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

  82.   O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    Merci d'avance.

    Le  4-07-2007 à 08:58 #

    bonjour


    plusieurs infections

    Télécharger sur le bureau
    SdFix
    = Double-clic SDFix.
    = Clic Install
    ------
    Télécharger
    Ccleaner
    et installer ==> Sur la page qui offre plusieurs choix , ne laisser cochés que les 2 premiers :
    « ajouter un raccourci sur le bureau » et « ajouter un raccourci dans le menu démarrer »
    ----------------------- ---------------

    Télécharger :
    AVG Antispyware 7.5

    = Installer
    = Clic : Mise à jour
    -----------------------

    = Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5, 2 ou 4 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
    --------
    = Double-clic sur le nouveau dossier SDFix qui est dans C:\
    = Double-clic RunThis
    = Presser Y
    = A l’invitation ==> appuyer sur une touche pour redémarrer
    = Redémarrage ( qui sera plus long ,car nettoyage en cours )
    Continuer si un message d’erreurs apparaît ,dans ce cas aller directement au rapport dans SDfix
    = apparition de Finished
    = Appuyer sur une touche
    = Dans SDFix , un rapport Report.
    --------

    Lancer Ccleaner ==> Analyse puis lancer le nettoyage
    ---------------------
    Lancer AVG anti-spy

    = Dans ANALYSE
    ==> Paramètres ==> sous COMMENT REAGIR==>Actions recommandées ==>Quarantaine
    ==> Clic : Analyse complète du système
    En fin de scan ( qui est assez long)
    ==> Clic Appliquer toutes les actions
    ==> Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
    ------
    en mode noramal

    mettre les rapport SDFIX , AVG
    et un nouveau hijack

    les mettre en simple copier/coller ( sans BB code)

    Le 13-08-2007 à 16:26 #

    Bonjour ! Tout d'bord, merci de ta réponse et désolé de ce long retour.
    Des soucis de connexion et un séjour en vacances m'ont plutôt empêché de donner signe de vie plus tôt.

    Voici les rapports.

    SDFIX
    SDFix: Version 1.89

    Run by Diouf on 13/08/2007 at 15:38

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Name:
    ntio256
    NtmlSvc
    runtime
    runtime2
    xpdx

    ImagePath:
    \??\C:\WINDOWS\System32\ntio256.sys
    %SystemRoot%\System32\svchost.exe -k netsvcs
    \??\C:\WINDOWS\System32\drivers\runtime.sys
    \SystemRoot\system32\drivers\runtime2.sys
    \??\C:\WINDOWS\System32\xpdx.sys

    ntio256 - Deleted
    NtmlSvc - Deleted
    runtime2 - Deleted
    xpdx - Deleted



    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...


    Normal Mode:
    Checking Files:

    Below files will be copied to Backups folder then removed:

    C:\WINDOWS\SYSTEM32\GE1.EXE - Deleted
    C:\WINDOWS\SYSTEM32\KB2165.EXE - Deleted
    C:\WINDOWS\SYSTEM32\SETUP_~1.EXE - Deleted
    C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll - Deleted
    C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll - Deleted
    C:\WINDOWS\system32\5_exception.nls - Deleted
    C:\WINDOWS\system32\drivers\asc3550u.sys - Deleted
    C:\WINDOWS\system32\i - Deleted
    C:\WINDOWS\system32\o - Deleted
    C:\WINDOWS\system32\setup_50024.exe - Deleted
    C:\WINDOWS\system32\Tilecomgm.com - Deleted
    C:\WINDOWS\Temp\$_2341233.TMP - Deleted
    C:\WINDOWS\Temp\$_2341234.TMP - Deleted
    C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted
    C:\WINDOWS\Temp\removalfile.bat - Deleted
    C:\WINDOWS\Temp\startdrv.exe - Deleted
    C:\WINDOWS\system32\xpdx.sys - Deleted



    Removing Temp Files...

    ADS Check:

    Checking C:\WINDOWS
    C:\WINDOWS
    No streams found.

    Checking C:\WINDOWS\system32
    C:\WINDOWS\system32
    No streams found.

    Checking C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    No streams found.

    Checking C:\WINDOWS\system32\ntoskrnl.exe
    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.



    Final Check:

    Remaining Services:
    -



    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    Backups Folder: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    C:\WINDOWS\system32\pfbwedje.exe
    C:\WINDOWS\system32\tycbb.exe
    C:\WINDOWS\LastGood.Tmp\INF\oem6.inf
    C:\WINDOWS\LastGood.Tmp\INF\oem6.PNF

    Finished

    AVG
    ------
    AVG Anti-Spyware - Rapport d'analyse
    ------

    + Créé à: 16:14:53 13/08/2007

    + Résultat de l'analyse:



    HKLM\SOFTWARE\Classes\CLSID\{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    HKLM\SOFTWARE\Classes\CLSID\{27150F81-0877-42E9-AF13-55E5A3439A26} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    HKLM\SOFTWARE\Classes\CLSID\{C7CF1142-0785-4B12-A280-B64681E4D45E} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27150f81-0877-42e9-af13-55e5a3439a26} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Erreur lors du nettoyage.
    HKU\S-1-5-21-1708537768-2147086963-725345543-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP481\A0108491.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\byxuusr.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\efcbxvt.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\efcdcde.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\fccayvv.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\gebyaay.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\geeba.exe -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\iifffeb.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\jkkhedc.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\jkkihhi.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\jkkiihe.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\jkkkjjj.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\jkklklm.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\ljjgddc.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\ljjgddd.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\ljjhiji.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\mljkiff.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\nnnkkhf.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\pmnopnk.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\qomjheb.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\rqrpopn.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\ssqppqr.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\ssqronn.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\tuvuvvu.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\urqoljk.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\vtuutsp.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\xxyabyx.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\yayabaw.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\yayvvwx.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\yaywwxu.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\yaywxxw.dll -> Adware.Virtumonde : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\pfbwedje.exe -> Backdoor.VanBot.dg : Nettoyé et sauvegardé (mise en quarantaine).
    C:\SDFix\backups\backups.zip/backups/startdrv.exe -> Downloader.Agent.buy : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP485\A0110023.exe -> Downloader.Agent.buy : Nettoyé et sauvegardé (mise en quarantaine).
    HKLM\SOFTWARE\Classes\CLSID\{7507739F-BC2E-4DC3-B233-816783C25DC9} -> Downloader.Delf : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\Diouf\Mes documents\Antoine\Documents de support\Hacking\8emezine.txt -> Not-A-Virus.HackTool.Perl.Cgiscan : Nettoyé et sauvegardé (mise en quarantaine).
    C:\SDFix\backups\backups.zip/backups/asc3550u.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP468\A0098088.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP468\A0098144.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP469\A0098474.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP469\A0099471.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP469\A0099494.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP469\A0099512.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP469\A0099572.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP469\A0100571.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP470\A0100617.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP470\A0101617.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP470\A0102616.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP471\A0102688.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP472\A0102780.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP473\A0102878.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP473\A0102950.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP474\A0103019.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP475\A0103068.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP475\A0104069.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP476\A0105069.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP477\A0105131.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP477\A0105178.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP477\A0106178.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP478\A0107178.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP479\A0108179.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP480\A0108257.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP480\A0108288.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP480\A0108313.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP481\A0108343.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP481\A0108447.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP481\A0108492.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP482\A0108559.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP482\A0108664.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP483\A0108808.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP483\A0108824.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP484\A0108956.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP485\A0109008.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP485\A0110013.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{4B4EFBDD-4A1D-4D38-8BB7-9B5F34793239}\RP485\A0110025.sys -> Proxy.Agent.mx : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\ajfhan.exe -> Trojan.Agent.apt : Nettoyé et sauvegardé (mise en quarantaine).


    Fin du rapport


    Hijackthis
    Logfile of HijackThis v1.99.1
    Scan saved at 16:16:30, on 13/08/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
    C:\Documents and Settings\Diouf\Bureau\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {18007d95-9a65-44b8-b8f9-0a1b4ea573a0} - C:\WINDOWS\system32\kbdfmt.dll (file missing)
    O2 - BHO: (no name) - {674DDFA6-BB3D-427B-961F-E9EEEF293004} - C:\WINDOWS\System32\xxyvsrq.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {B2046068-0290-43BA-9776-BF6ECDD95A6A} - C:\WINDOWS\System32\awvtt.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\System32\gttmeudi.dll",forkonce
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2E4CF4B3-7E47-44D9-BC34-27A796037A4B}: NameServer = 212.27.32.176,212.27.32.177
    O17 - HKLM\System\CS2\Services\Tcpip\..\{2E4CF4B3-7E47-44D9-BC34-27A796037A4B}: NameServer = 212.27.32.176,212.27.32.177
    O17 - HKLM\System\CS3\Services\Tcpip\..\{2E4CF4B3-7E47-44D9-BC34-27A796037A4B}: NameServer = 212.27.32.176,212.27.32.177
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: awvtt - C:\WINDOWS\System32\awvtt.dll (file missing)
    O20 - Winlogon Notify: kbdfmt - kbdfmt.dll (file missing)
    O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)
    O20 - Winlogon Notify: xxyvsrq - xxyvsrq.dll (file missing)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\gmtqtxpy.exe (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
    O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    Voilà, merci de votre attention.


    [ Ce message a été modifié par : : Djidiouf le 13-08-2007 16:27 ]

    Le 13-08-2007 à 16:28 #

    infection vundo.

    Télécharger sur le Bureau.
    VundoFix

    = Double-clic VundoFix.exe.
    = Clic OK
    =Attendre le redemarrage de Vundofix
    =Clic Scan for Vundo
    = le scan est assez long , à la fin
    =Clic Remove Vundo
    = Puis yes
    = Le Bureau disparaît un moment lors de la suppression des fichiers.
    =Message shutdown
    =clic OK
    =Redémarrage auto
    =copier le rapport qui est dans C:\vundofix.txt


    Télécharger sur le bureau
    VirtumondoBegone

    =Double clic sur VirtumundoBeGone.exe
    =clic Continue ==> clic Start
    =clic Oui
    =A la fin si Vundo est présent , le PC s’éteint et redémarre

    Si Ecran bleu et message : Erreur fatale .. pas de problème

    =Poster le rapport VBG.TXT qui est sur le bureau

    Le 13-08-2007 à 16:56 #

    Merci de cette réponse rapide ! Voici les rapports.

    VundoFix

    VundoFix V6.5.7

    Checking Java version...

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Scan started at 16:41:42 13/08/2007

    Listing files found while scanning....

    C:\windows\system32\anlkkroy.ini
    C:\windows\system32\awtuurq.dll
    C:\WINDOWS\System32\awvtt.dll
    C:\windows\system32\ddivhikx.dll
    C:\windows\system32\fxipganr.dll
    C:\WINDOWS\System32\gttmeudi.dll
    C:\windows\system32\hbevhblt.dll
    C:\WINDOWS\System32\iduemttg.ini
    C:\windows\system32\ogcvowiw.ini
    C:\windows\system32\ojwbgbsb.dll
    C:\windows\system32\pxexewmq.dll
    C:\windows\system32\qmwexexp.ini
    C:\WINDOWS\System32\qvgvsnra.dll
    C:\WINDOWS\System32\rcybcnuv.dll
    C:\windows\system32\rdrsinsk.dll
    C:\windows\system32\rdsxqmac.dll
    C:\windows\system32\rocwuqwf.dll
    C:\windows\system32\thhjfsps.dll
    C:\windows\system32\tlbhvebh.ini
    C:\WINDOWS\System32\ttvwa.bak1
    C:\WINDOWS\System32\ttvwa.bak2
    C:\WINDOWS\System32\ttvwa.ini
    C:\WINDOWS\System32\ttvwa.ini2
    C:\windows\system32\wiwovcgo.dll
    C:\windows\system32\xwuvesat.dll
    C:\WINDOWS\System32\xxyvsrq.dll
    C:\windows\system32\yorkklna.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\anlkkroy.ini
    C:\windows\system32\anlkkroy.ini Has been deleted!

    Attempting to delete C:\windows\system32\awtuurq.dll
    C:\windows\system32\awtuurq.dll Has been deleted!

    Attempting to delete C:\windows\system32\ddivhikx.dll
    C:\windows\system32\ddivhikx.dll Has been deleted!

    Attempting to delete C:\windows\system32\fxipganr.dll
    C:\windows\system32\fxipganr.dll Has been deleted!

    Attempting to delete C:\WINDOWS\System32\gttmeudi.dll
    C:\WINDOWS\System32\gttmeudi.dll Has been deleted!

    Attempting to delete C:\windows\system32\hbevhblt.dll
    C:\windows\system32\hbevhblt.dll Has been deleted!

    Attempting to delete C:\WINDOWS\System32\iduemttg.ini
    C:\WINDOWS\System32\iduemttg.ini Has been deleted!

    Attempting to delete C:\windows\system32\ogcvowiw.ini
    C:\windows\system32\ogcvowiw.ini Has been deleted!

    Attempting to delete C:\windows\system32\ojwbgbsb.dll
    C:\windows\system32\ojwbgbsb.dll Has been deleted!

    Attempting to delete C:\windows\system32\pxexewmq.dll
    C:\windows\system32\pxexewmq.dll Has been deleted!

    Attempting to delete C:\windows\system32\qmwexexp.ini
    C:\windows\system32\qmwexexp.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\rcybcnuv.dll
    C:\WINDOWS\System32\rcybcnuv.dll Has been deleted!

    Attempting to delete C:\windows\system32\rdrsinsk.dll
    C:\windows\system32\rdrsinsk.dll Has been deleted!

    Attempting to delete C:\windows\system32\rdsxqmac.dll
    C:\windows\system32\rdsxqmac.dll Has been deleted!

    Attempting to delete C:\windows\system32\rocwuqwf.dll
    C:\windows\system32\rocwuqwf.dll Has been deleted!

    Attempting to delete C:\windows\system32\thhjfsps.dll
    C:\windows\system32\thhjfsps.dll Has been deleted!

    Attempting to delete C:\windows\system32\tlbhvebh.ini
    C:\windows\system32\tlbhvebh.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ttvwa.bak1
    C:\WINDOWS\System32\ttvwa.bak1 Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ttvwa.bak2
    C:\WINDOWS\System32\ttvwa.bak2 Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ttvwa.ini
    C:\WINDOWS\System32\ttvwa.ini Has been deleted!

    Attempting to delete C:\WINDOWS\System32\ttvwa.ini2
    C:\WINDOWS\System32\ttvwa.ini2 Has been deleted!

    Attempting to delete C:\windows\system32\wiwovcgo.dll
    C:\windows\system32\wiwovcgo.dll Has been deleted!

    Attempting to delete C:\windows\system32\xwuvesat.dll
    C:\windows\system32\xwuvesat.dll Has been deleted!

    Attempting to delete C:\windows\system32\yorkklna.dll
    C:\windows\system32\yorkklna.dll Has been deleted!

    Performing Repairs to the registry.
    Done!


    Lors de l'action "remove Vundo", j'ai eu à un moment une fenêtre intitulé "Copy File" qui contenant : "Error: 75. Path/File access error". J'ai fermé la fenêtre et la suppression des fichiers a reprit.

    VBG
    [08/13/2007, 16:47:02] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Diouf\Bureau\VirtumundoBeGone.exe" )
    [08/13/2007, 16:47:13] - Detected System Information:
    [08/13/2007, 16:47:13] - Windows Version: 5.1.2600,
    [08/13/2007, 16:47:13] - Current Username: Diouf (Admin)
    [08/13/2007, 16:47:13] - Windows is in NORMAL mode.
    [08/13/2007, 16:47:13] - Searching for Browser Helper Objects:
    [08/13/2007, 16:47:13] - BHO 1: {18007d95-9a65-44b8-b8f9-0a1b4ea573a0} ()
    [08/13/2007, 16:47:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [08/13/2007, 16:47:13] - Checking for HKLM\...\Winlogon\Notify\kbdfmt
    [08/13/2007, 16:47:13] - Found: HKLM\...\Winlogon\Notify\kbdfmt - This is probably Virtumundo.
    [08/13/2007, 16:47:13] - Assigning {18007d95-9a65-44b8-b8f9-0a1b4ea573a0} MSEvents Object
    [08/13/2007, 16:47:13] - BHO list has been changed! Starting over...
    [08/13/2007, 16:47:13] - BHO 1: {18007d95-9a65-44b8-b8f9-0a1b4ea573a0} (MSEvents Object)
    [08/13/2007, 16:47:13] - ALERT: Found MSEvents Object!
    [08/13/2007, 16:47:13] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [08/13/2007, 16:47:13] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [08/13/2007, 16:47:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [08/13/2007, 16:47:13] - No filename found. Continuing.
    [08/13/2007, 16:47:13] - BHO 4: {B2046068-0290-43BA-9776-BF6ECDD95A6A} ()
    [08/13/2007, 16:47:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [08/13/2007, 16:47:13] - Checking for HKLM\...\Winlogon\Notify\awvtt
    [08/13/2007, 16:47:13] - Found: HKLM\...\Winlogon\Notify\awvtt - This is probably Virtumundo.
    [08/13/2007, 16:47:13] - Assigning {B2046068-0290-43BA-9776-BF6ECDD95A6A} MSEvents Object
    [08/13/2007, 16:47:13] - BHO list has been changed! Starting over...
    [08/13/2007, 16:47:13] - BHO 1: {18007d95-9a65-44b8-b8f9-0a1b4ea573a0} (MSEvents Object)
    [08/13/2007, 16:47:13] - ALERT: Found MSEvents Object!
    [08/13/2007, 16:47:13] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [08/13/2007, 16:47:13] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [08/13/2007, 16:47:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [08/13/2007, 16:47:13] - No filename found. Continuing.
    [08/13/2007, 16:47:13] - BHO 4: {B2046068-0290-43BA-9776-BF6ECDD95A6A} (MSEvents Object)
    [08/13/2007, 16:47:13] - ALERT: Found MSEvents Object!
    [08/13/2007, 16:47:13] - Finished Searching Browser Helper Objects
    [08/13/2007, 16:47:13] - *** Detected MSEvents Object
    [08/13/2007, 16:47:13] - Trying to remove MSEvents Object...
    [08/13/2007, 16:47:14] - Terminating Process: IEXPLORE.EXE
    [08/13/2007, 16:47:15] - Terminating Process: RUNDLL32.EXE
    [08/13/2007, 16:47:15] - Disabling Automatic Shell Restart
    [08/13/2007, 16:47:15] - Terminating Process: EXPLORER.EXE
    [08/13/2007, 16:47:15] - Suspending the NT Session Manager System Service
    [08/13/2007, 16:47:15] - Terminating Windows NT Logon/Logoff Manager
    [08/13/2007, 16:47:15] - Re-enabling Automatic Shell Restart
    [08/13/2007, 16:47:15] - File to disable: C:\WINDOWS\system32\kbdfmt.dll
    [08/13/2007, 16:47:15] - Removing HKLM\...\Browser Helper Objects\{18007d95-9a65-44b8-b8f9-0a1b4ea573a0}
    [08/13/2007, 16:47:15] - Removing HKCR\CLSID\{18007d95-9a65-44b8-b8f9-0a1b4ea573a0}
    [08/13/2007, 16:47:15] - Adding Kill Bit for ActiveX for GUID: {18007d95-9a65-44b8-b8f9-0a1b4ea573a0}
    [08/13/2007, 16:47:15] - Deleting ATLEvents/MSEvents Registry entries
    [08/13/2007, 16:47:15] - Removing HKLM\...\Winlogon\Notify\kbdfmt
    [08/13/2007, 16:47:15] - Searching for Browser Helper Objects:
    [08/13/2007, 16:47:15] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [08/13/2007, 16:47:15] - BHO 2: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [08/13/2007, 16:47:15] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [08/13/2007, 16:47:15] - No filename found. Continuing.
    [08/13/2007, 16:47:16] - BHO 3: {B2046068-0290-43BA-9776-BF6ECDD95A6A} (MSEvents Object)
    [08/13/2007, 16:47:16] - ALERT: Found MSEvents Object!
    [08/13/2007, 16:47:16] - Finished Searching Browser Helper Objects
    [08/13/2007, 16:47:16] - *** Detected MSEvents Object
    [08/13/2007, 16:47:16] - Trying to remove MSEvents Object...
    [08/13/2007, 16:47:17] - Terminating Process: IEXPLORE.EXE
    [08/13/2007, 16:47:17] - Terminating Process: RUNDLL32.EXE
    [08/13/2007, 16:47:17] - Disabling Automatic Shell Restart
    [08/13/2007, 16:47:17] - Terminating Process: EXPLORER.EXE
    [08/13/2007, 16:47:17] - Suspending the NT Session Manager System Service
    [08/13/2007, 16:47:17] - Terminating Windows NT Logon/Logoff Manager
    [08/13/2007, 16:47:17] - Re-enabling Automatic Shell Restart
    [08/13/2007, 16:47:17] - File to disable: C:\WINDOWS\System32\awvtt.dll
    [08/13/2007, 16:47:17] - Removing HKLM\...\Browser Helper Objects\{B2046068-0290-43BA-9776-BF6ECDD95A6A}
    [08/13/2007, 16:47:17] - Removing HKCR\CLSID\{B2046068-0290-43BA-9776-BF6ECDD95A6A}
    [08/13/2007, 16:47:17] - Adding Kill Bit for ActiveX for GUID: {B2046068-0290-43BA-9776-BF6ECDD95A6A}
    [08/13/2007, 16:47:17] - Deleting ATLEvents/MSEvents Registry entries
    [08/13/2007, 16:47:17] - Removing HKLM\...\Winlogon\Notify\awvtt
    [08/13/2007, 16:47:17] - Searching for Browser Helper Objects:
    [08/13/2007, 16:47:17] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [08/13/2007, 16:47:17] - BHO 2: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [08/13/2007, 16:47:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [08/13/2007, 16:47:17] - No filename found. Continuing.
    [08/13/2007, 16:47:17] - Finished Searching Browser Helper Objects
    [08/13/2007, 16:47:17] - Finishing up...
    [08/13/2007, 16:47:17] - A restart is needed.
    [08/13/2007, 16:47:29] - Attempting to Restart via STOP error (Blue Screen!)


    Mon PC a redémarrer, je n'ai eu aucun écran bleu.

    Le 13-08-2007 à 16:57 #

    télécharger sur le bureau
    Navilog1.exe
    = double-clic dessus pour l'installer et le lancer
    Quand installé
    = taper F
    = Appuyer sur une touche jusqu' arriver aux options
    = Choisir option 1 ( = taper 1 )
    ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

    un rapport : fixnavi.txt
    dans ==> C :
    le copier/coller dans la réponse


    Télécharge sur ton bureau Clean (zip)
    = Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    =double-clic Dossier Clean
    = double-clic Clean. ( avec comme symbole une roue dentée)
    = Option 1 = taper 1
    = copier/coller le rapport dans la réponse


    Le 13-08-2007 à 17:11 #

    Fixnavi
    Search Navipromo version 2.0.7 commencé le 13/08/2007 à 17:04:47,23

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 11.08.2007 a 18h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***




    *** Recherche dossiers dans C:\WINDOWS ***




    *** Recherche dossiers dans C:\Program Files ***




    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




    *** Recherche dossiers dans C:\Documents and Settings\Diouf\Application Data ***



    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    http://www.f-secure.com/blacklight/blacklight_help.html

    Fichier(s) caché(s) dans C:\WINDOWS\system32 :


    Processus caché(s) dans C:\WINDOWS\system32 :



    *** Recherche fichiers ***




    *** Recherche cles registre ***


    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



    Recherche Clé Magic Control



    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:


    2)Recherche Heuristique :
    *
    **
    ***
    ****
    *****
    ******
    *******
    ********
    C:\WINDOWS\system32\bfbhpfxb.exe trouvé !
    C:\WINDOWS\system32\bmuikrab.exe trouvé !
    C:\WINDOWS\system32\bvxksyvw.exe trouvé !
    C:\WINDOWS\system32\cvvlncwl.exe trouvé !
    C:\WINDOWS\system32\dphisqgj.exe trouvé !
    C:\WINDOWS\system32\gyujgbqs.exe trouvé !
    C:\WINDOWS\system32\irikqwhb.exe trouvé !
    C:\WINDOWS\system32\mrirljvw.exe trouvé !
    C:\WINDOWS\system32\ogrcmijv.exe trouvé !
    C:\WINDOWS\system32\rgcrksdr.exe trouvé !
    C:\WINDOWS\system32\ruiwmtsy.exe trouvé !
    C:\WINDOWS\system32\sjftjsjm.exe trouvé !
    C:\WINDOWS\system32\tbdqmhmn.exe trouvé !
    C:\WINDOWS\system32\uecmdlxy.exe trouvé !


    3)Recherche Certificats :


    *** Recherche avec GenericNaviSearch Beta ***
    !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    Fichiers trouvés :

    Aucun Fichier trouvé !

    Fichiers suspects :

    Aucun Fichier suspect trouvé !


    *** Analyse Terminé le 13/08/2007 à 17:08:05,51 ***


    Clean
    13/08/2007 a 17:09:56,57

    *** Recherche des fichiers dans C:

    *** Recherche des fichiers dans C:\WINDOWS\
    C:\WINDOWS\UnGins.exe FOUND

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\mcrh.tmp FOUND

    *** Recherche des fichiers dans C:\Program Files
    *** Fin du rapport !

    Le 13-08-2007 à 18:32 #

    = Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
    ==> lance clean.zip et choisi choisi l'option 2

    = Lance navilog1
    = Cette fois-ci choisi l'option 2
    = Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
    = Un rapport va être génrer sur ton C:\ qui sera en option 2
    Note: le bureau disparaît

    = Redémarre en mode normal et colle le contenu du rapport de navilog (qui est en option 2)

    poste le rapport de clean.zip option 2.

    Le 13-08-2007 à 18:34 #

    Salut,

    tu redémarres ton pc en mode sans echec (tapoter la touche F8 (ou F5 selon la marque du pc) au démarrage ==> mode sans echec ==> nom d'utilisateur habituel)

    tu relances navilog et tu choisis l'option 2

    tu fais de même pour clean (option 2)

    Tu redémarres ton pc et tu postes les 2 nouveaux rapports (navilog et clean)

    + un nouveau rapport hijackthis

    A plus

    Edit : Bon, ben grillé par Thegame . Poste tout de même le rapport hijackthis (partie bleue)


    [ Ce message a été modifié par : : scoob1 le 13-08-2007 18:35 ]
    » Liste des Forums » Virus, troyens, etc...




    Ces discussions pourraient vous intéresser également:


    Un virus qui foire les connexions internet?
    divers virus
    pb de pop up + virus divers
    divers virus
    Virus divers Win32



    Sujets Connexes


    Connectés

    Il y a actuellement 533 visiteurs
    et 36 toiliens en ligne.

    Restos

    605€

    Pour chaque actu publiée, SLT verse 1€ aux Restos du Coeur. Notre objectif de 1000€ est réalisé à 60.5% Pour participer, proposez une actu récente liée aux sciences ou à l'informatique!

    Sauf mention contraire, le contenu du blog et du forum est sous licence Creative Commons By-Sa. Vous avez le droit de le reproduire et de le modifier à condition de citer l'auteur, de faire un lien vers la page d'origine, et de partager vos travaux dérivés selon les mêmes conditions.

    Conditions d'utilisation -

    Partenaires: [Informatique Multimédia] [Portail du Maroc] [Actualité High Tech]
    [Tutoriaux Photoshop] [éligibilité ADSL] [Astuces Windows]

    Page générée en 333 millisecondes sur WWW1.