[virus] Vundo & Cie

Salut,

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"


O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - Startup: Iomega Product Registration.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/SP.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit...
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/...
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FA5D65D-0E5E-4835-BC35-9C08A6F41764}: NameServer = 85.255.116.41,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FCCFF13-DBEF-4CE2-9F08-1E37DA12FEB6}: NameServer = 85.255.116.41,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{A92AF3AA-5FB4-43FA-A68C-46AE6FD0A624}: NameServer = 85.255.116.41,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2D32DB4-2B29-485F-8726-97B28B0141EF}: NameServer = 85.255.116.41,85.255.112.125
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.41 85.255.112.125
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FA5D65D-0E5E-4835-BC35-9C08A6F41764}: NameServer = 85.255.116.41,85.255.112.125
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.41 85.255.112.125
O17 - HKLM\System\CS2\Services\Tcpip\..\{2FA5D65D-0E5E-4835-BC35-9C08A6F41764}: NameServer = 85.255.116.41,85.255.112.125
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.41 85.255.112.125
O23 - Service: Windows Network Security Management Service (nsms) - Unknown owner - E:\WINNT\system32\1.tmp (file missing)
O23 - Service: Terminal Services NT (termserv.exe) - Unknown owner - E:\WINNT\services.exe (file missing)
O23 - Service: windows login - Unknown owner - E:\WINNT\winlogin.exe (file missing)


Clic sur demarrer, executer, tape: services.msc ,cherche dans la liste les ligne ci-dessous et regle les sur "desactivé"

windows login
Windows Network Security Management Service

celle-ci sur "manuel"

Terminal Services NT


Clic sur demarrer, rechercher, cherche et supprime si présent:

1.tmp
winlogin.exe

***Si un fichier persiste lors de la suppression fais ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche f8, à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement



Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

*C'est en forgeant que l'on devient forgeron*

Salut

c'est Wareout qui fait toute cette pagaille !

* Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt)

* ensuite utilise VundoFix ( voici la manip au cas où )

Téléchargez VundoFix.exe (par Atribune) sur ton Bureau :

http://www.atribune.org/ccount/click.php?id=4

*Double-clique VundoFix.exe afin de le lancer.
* Cochez Run VundoFix as a task.
* l'outil va se fermer et s'ouvrir à nouveau : cliquez Ok
* Cliquez sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquez sur le bouton Remove Vundo.
* Une invite vous demandera supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* le PC va s'éteindre ("shutdown") : clique OK
* Démarrez votre PC à nouveau

et enfin remet un nouveau hijackthis à la fin

bon courage, @+

**tout ce que je sais, c'est que je ne sais rien ! et c'est déjà pas mal ...**

@ BoulePate62: J'ai suivi tes conseils et j'ai obtenu ce résultat:
1/ les occurrences dans HijackThis que j'ai coché ne réapparaissent plus, sauf 23 Service: terminal service NT, même après un redémarrage en mode sans échec.

2/ Compte rendu VirtumondoBeGone:

[08/30/2006, 22:11:03] - VirtumundoBeGone v1.5 ( "E:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[08/30/2006, 22:11:10] - Detected System Information:
[08/30/2006, 22:11:10] - Windows Version: 5.0.2195, Service Pack 4
[08/30/2006, 22:11:10] - Current Username: Administrateur (Admin)
[08/30/2006, 22:11:10] - Windows is in SAFE mode with Networking.
[08/30/2006, 22:11:10] - Searching for Browser Helper Objects:
[08/30/2006, 22:11:10] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/30/2006, 22:11:10] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[08/30/2006, 22:11:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/30/2006, 22:11:10] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[08/30/2006, 22:11:10] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[08/30/2006, 22:11:10] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/30/2006, 22:11:10] - BHO 4: {A893C6FD-ED46-4023-AECF-E720143FEFBA} ()
[08/30/2006, 22:11:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/30/2006, 22:11:10] - Checking for HKLM\...\Winlogon\Notify\nnlji
[08/30/2006, 22:11:10] - Found: HKLM\...\Winlogon\Notify\nnlji - This is probably Virtumundo.
[08/30/2006, 22:11:10] - Assigning {A893C6FD-ED46-4023-AECF-E720143FEFBA} MSEvents Object
[08/30/2006, 22:11:10] - BHO list has been changed! Starting over...
[08/30/2006, 22:11:10] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/30/2006, 22:11:10] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[08/30/2006, 22:11:11] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/30/2006, 22:11:11] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[08/30/2006, 22:11:11] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[08/30/2006, 22:11:11] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/30/2006, 22:11:11] - BHO 4: {A893C6FD-ED46-4023-AECF-E720143FEFBA} (MSEvents Object)
[08/30/2006, 22:11:11] - ALERT: Found MSEvents Object!
[08/30/2006, 22:11:11] - Finished Searching Browser Helper Objects
[08/30/2006, 22:11:11] - *** Detected MSEvents Object
[08/30/2006, 22:11:11] - Trying to remove MSEvents Object...
[08/30/2006, 22:11:12] - Terminating Process: IEXPLORE.EXE
[08/30/2006, 22:11:12] - Terminating Process: RUNDLL32.EXE
[08/30/2006, 22:11:12] - Disabling Automatic Shell Restart
[08/30/2006, 22:11:12] - Terminating Process: EXPLORER.EXE
[08/30/2006, 22:11:12] - Suspending the NT Session Manager System Service
[08/30/2006, 22:11:12] - Terminating Windows NT Logon/Logoff Manager
[08/30/2006, 22:11:12] - Re-enabling Automatic Shell Restart
[08/30/2006, 22:11:12] - File to disable: E:\WINNT\system32\nnlji.dll
[08/30/2006, 22:11:12] - Renaming E:\WINNT\system32\nnlji.dll -> E:\WINNT\system32\nnlji.dll.vir
[08/30/2006, 22:11:12] - ! File rename was unsucessful.
[08/30/2006, 22:11:12] - Attempting to Deny Access to E:\WINNT\system32\nnlji.dll
[08/30/2006, 22:11:13] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[08/30/2006, 22:11:13] - ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

[08/30/2006, 22:11:13] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[08/30/2006, 22:11:13] - Removing HKLM\...\Browser Helper Objects\{A893C6FD-ED46-4023-AECF-E720143FEFBA}
[08/30/2006, 22:11:13] - Removing HKCR\CLSID\{A893C6FD-ED46-4023-AECF-E720143FEFBA}
[08/30/2006, 22:11:13] - Adding Kill Bit for ActiveX for GUID: {A893C6FD-ED46-4023-AECF-E720143FEFBA}
[08/30/2006, 22:11:13] - Deleting ATLEvents/MSEvents Registry entries
[08/30/2006, 22:11:13] - Removing HKLM\...\Winlogon\Notify\nnlji
[08/30/2006, 22:11:13] - Searching for Browser Helper Objects:
[08/30/2006, 22:11:13] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/30/2006, 22:11:13] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[08/30/2006, 22:11:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/30/2006, 22:11:13] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[08/30/2006, 22:11:13] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[08/30/2006, 22:11:13] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/30/2006, 22:11:13] - Finished Searching Browser Helper Objects
[08/30/2006, 22:11:13] - Finishing up...
[08/30/2006, 22:11:13] - A restart is needed.
[08/30/2006, 22:11:30] - Attempting to Restart via STOP error (Blue Screen!)

[08/30/2006, 22:14:10] - VirtumundoBeGone v1.5 ( "E:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[08/30/2006, 22:14:14] - Detected System Information:
[08/30/2006, 22:14:14] - Windows Version: 5.0.2195, Service Pack 4
[08/30/2006, 22:14:14] - Current Username: Administrateur (Admin)
[08/30/2006, 22:14:14] - Windows is in NORMAL mode.
[08/30/2006, 22:14:14] - Searching for Browser Helper Objects:
[08/30/2006, 22:14:14] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[08/30/2006, 22:14:14] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[08/30/2006, 22:14:14] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/30/2006, 22:14:14] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[08/30/2006, 22:14:15] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[08/30/2006, 22:14:15] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/30/2006, 22:14:15] - Finished Searching Browser Helper Objects
[08/30/2006, 22:14:15] - Finishing up...
[08/30/2006, 22:14:15] - Nothing found! Exiting...


@ Green Day: Je croyais avoir enlevé Wareout avec FixWareout il y a deux semaines ! Bon, je vais recommencer, alors ...

Merci pour vos conseils, en tout cas !

Et voilà !


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Urls\ruof
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of E:\WINNT\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

Et enfin, le log de Hijackthis après tout ça:

Logfile of HijackThis v1.99.1
Scan saved at 22:38:39, on 30/08/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
E:\Program Files\AntiVir PersonalEdition Classic\sched.exe
E:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
E:\WINNT\system32\drivers\CDAC11BA.EXE
E:\WINNT\System32\svchost.exe
E:\Program Files\ewido anti-spyware 4.0\guard.exe
E:\WINNT\system32\drivers\KodakCCS.exe
D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
E:\WINNT\System32\nvsvc32.exe
E:\WINNT\system32\HPZipm12.exe
D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\stisvc.exe
E:\WINNT\system32\Tablet.exe
E:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\Explorer.EXE
D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
E:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
E:\Program Files\Opera\Opera.exe
E:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "E:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\PROGRA~1\MICROS~3\INetRepl.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - E:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - E:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - E:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - E:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - E:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - E:\WINNT\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - E:\WINNT\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - E:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINNT\system32\HPZipm12.exe
O23 - Service: TabletService - Wacom Technology, Corp. - E:\WINNT\system32\Tablet.exe
O23 - Service: Terminal Services NT (termserv.exe) - Unknown owner - E:\WINNT\services.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - E:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Bonjour,
Moi aussi je suis infecté par moults Virus dont Vundo, et d'autre je pense.
Tout a commencé quand j'ai accepté comme un idiot une archive zip "image" sur MSN et que je l'ai ouverte: il s'agissait d'un virus qui, peu a peu bousille mon ordi qui ralentit de plus en plus, qui elimine des fichiers systemes au fur et a mesure que j'ai essayé de nettoyer les malwares ( avg antispyware, avast 4.7).
Depuis, j'ai essayé de me débrouiller tout seul en suivant certaines opérations de ce forum, MSN Fix, CCleaner, Vundofix...je croisd que j'ai empiré les choses et je suis desespéré car je suis expatrié et j'ai besoin de mon ordi pour le taf et d'internet pour rester en contact avec ma famille...je suis blazé !
Je suis pret a suivre les étapes une à une d'un ange gardien du net qui serait disposé à essayer de me filer un coup de main, je suis une quiche en proctectio informatique( pour ne pas dire en informatique tout court).
Quels sont mes symptomes les plus flagrants ?
- message d'affichage de fichier manquant a chaque demarrage de windows
- frequemment s'affiche le message suivant: "Microsoft Visual C++ Runtime Library
Buffer overrun detected!
Program: C:\WINDOWS\explorer.exe
A buffer overrun has been detected which has crrupted the program's internat state. The program cannot safely continue execution and must now be terminated. "

- lenteur démentielle de mon ordinateur dans tous les domaines...et parfois un bug irremediable ( obligé de relancer).
- winantispyware, drivecleaner, errorsafe...toute une multitude de page publicitaire de la sorte qui s'ouvre toutes les 30 secondes ( une fois sur 2, lorsque j'ouvre une page, y'a une autre page indesirable qui s'ouvre en me disant que je suis infecté et qu'il faut telecharger tel ou tel programme pour me sauver-je ne le fais pas bien sur)...je deviens fou, plus possible de surfer sur le net: rien que pour ecrire ce post j'ai mis 106 ans, ça devient insupportable.
- de plus, lorsque j'ouvre une page normale sur internet explorer, les bannieres de pub (ou les icones genre des mini captures de videos sur des pages comme youtube par exemple) sont très souvent remplacés par des messages du style "virus detecté, vous etes infecté paR UN LOGICIEL ESPION, DONC "fix now" ou clique ici pour desinfecter "( je ne le fais pas non plus, ça pue l'arnaque)..

J'aimerais aussi que mon cybersauveteur me conseille sur les logiciels antivirus ou anti spyware a utiliser ( et de préférence non payants si possible).
J'espère que quelqu'un pourra me sortir de ce beau merdier, je crains qu'il y est du boulot...
Mais je n'ai pas completement perdu espoir !
Je suis en Espagne, donc si vous ne comprenez pas certains mots du scan dites moi, je vous traduirais vite fait. Merci


Voici mon Hijackthis:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:55:50, on 01/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
C:\archivos de programa\Siemens\Common\S7ubtoox\s7ubtstx.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
c:\archivos de programa\Siemens\Common\Sqlany\dbsrv50.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
c:\archivos de programa\Siemens\Common\Sqlany\dbclient.exe
C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\VANE\Escritorio\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/...
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://as.starware.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: {EA551C00-2AE5-11d3-8592-00A0C98E9EA4} - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2325099D-54F3-4FCC-A4B7-D5CF1B408BAC} - C:\WINDOWS\system32\jkhhf.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Starware - {4a31c452-58fd-4a17-bdf6-63742960d146} - C:\Archivos de programa\Starware\bin\Starware.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Archivos de programa\Creative\PC-CAM Center\CAMTRAY.EXE
O4 - HKLM\..\Run: [S7UB Start] "c:\archivos de programa\Siemens\Common\S7ubtoox\s7ubtstx.exe" -StartDB
O4 - HKLM\..\Run: [PC-CAM 600 STI App Registration] RunDLL32.exe PD023pin.dll,RunDLL32EP 512
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\iprbvamh.dll",forkonce
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\dqdmhnpr.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MaxTV.lnk = C:\Archivos de programa\DMV\MaxTV\MaxTV.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnline Control) - http://media.fotoprix.com/ReveladoOnline/1.2.5.11/setup.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://mapimartin.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

Merci encore, help me pleASE :)

Hola !

qué tal ?? :)


on va commencer par ça :

* Prendre connaissance du contenu du lien suivant: http://www.f-secure.com/products/license-terms/eult_fra.pdf
* Vous avez donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que vous allez télécharger.
* Faire un clic droit sur ce lien : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
* Enregistrez la cible (du lien) sous... et enregistrez-le sur le bureau.
* Faire un clic droit sur navilog1.zip et choisir "tout extraire"
* Double-cliquez sur navilog1.bat
* Arriver au menu principal, choisir l'option 1 et valider.
* Patientez jusqu'au message : Analyse Termine le ...
* Le rapport sera en outre sauvegardé à la racine du disque (fixnavi.txt), poste le stp

Adios :)







Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)

Pour répondre a rhaxapopoueti(j'espere avoir bien noté ce nom)vas chercher le logiciel malwarebytes anti malware
quand tu as fait l installation tu fais faire la mise a jour et le scan.Si tu as pas beaucoup de temps tu ne prends pas le scan complet et en plus il est en francais SUPER!!!! et en plus il est gratuit
voici le lien: http://www.generation-nt.com/malwarebytes-anti-malware-telec­hargement-47800.html
et il ne détecte pas juste le vundo
Bonne chance

Je m excuse voici le lien pour malwarebytes anti malware francais:

http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware