Sujet Précédent Sujet Suivant

Trojan.Vundo.dlm: bien difficile à supprimer

Résolu/Fermé
K4rine Messages postés 8 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 19 avril 2007 - 16 avril 2007 à 10:41
 Dracia - 5 juin 2008 à 11:13
bonjour,

je suis sous windows xp pro sp2 mis à jour.
en fait j'ai formaté mon pc ce week end, et une pure galère pour reussir à reinstaller xp sans chopper plein de trucs pourris.
du coup, là j'ai trojan.vundo.DLM dans system32\urqqnml.dll.
j'ai lu le message: "quel saleté de virus" du 10/04 et les réponses de Germinix.
j'ai plus ou moins suivi ses instructions:
j'ai bitdefender qui le signale regulièrement, mais impossible de faire quoi que ce soit, il n'accepte aucune action.
j'ai donc téléchargé ccleaner, qui ne voit rien, A2free et vundo fix
mais rien à faire, il est toujours là.
Si quelqu'un connait la solution et à le temps de m'expliquer, ce serait chic ;-)
merci d'avance,
karine

20 réponses

Réponse 1 / 20
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
16 avril 2007 à 10:49
Salut



Fais ce qui suit d'abord

F - Hijackthis - Outil de diagnostic et réparation

télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : ! Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

0
K4rine Messages postés 8 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 19 avril 2007
16 avril 2007 à 12:24
voili voilou:
et merci

Logfile of HijackThis v1.99.1
Scan saved at 12:23:00, on 16/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Krine\Bureau\sdelete.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Krine\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - (no file)
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\urqqnml.dll
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: urqqnml - C:\WINDOWS\SYSTEM32\urqqnml.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
0
Réponse 2 / 20
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
16 avril 2007 à 16:10
Tu as fait celui-là de Vundo ?

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.


0
K4rine Messages postés 8 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 19 avril 2007
16 avril 2007 à 19:39
oui, je l'ai fait mais il ne trouve rien, alors que bitdefender me le signale bien.
je peux meme pas te donner de rapport, car vundofix me dit seulement qu'il n'a rien trouvé.
merci quand même
0
Réponse 3 / 20
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
17 avril 2007 à 10:42
Re,

Fais ce qui suit et envoie les rapports d'AVG et de Bitdefender
C - Ccleaner :
(nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc.)
Télécharge ici :
https://www.ccleaner.com/ccleaner/download
Tutorial ici:
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
ET
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

D – Ewido – AVG

AVG Anti-Spyware :
https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour.
Patiente!
Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
/!\ Si un fichier est infecté en fin d'analyse /!\
choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.
Copie/colle le rapport


E - Scan online avec BitDefender

(fonctionne uniquement sous Internet Explorer en acceptant l’ activX) la barre anti-popup du SP (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
https://assiste.com/404_La_page_demandee_n_existe_pas.php
http://www.bitdefender.fr/scan8/ie.html
TUTO
http://perso.orange.fr/rginformatique/section%20virus/defender.htm
Copie/COLLE le rapport entier

0
Réponse 4 / 20
lassadbg Messages postés 27 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 18 avril 2007 2
17 avril 2007 à 10:49
Salut,
je vous conseille d'essayer avec "avast", c'est mon préféré, mais il faut lui laisser le temps de télécharger ses mise à jour puis lancer le scan.
https://www.pcastuces.com/logitheque/telechargement.asp?num=559
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
K4rine Messages postés 8 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 19 avril 2007
19 avril 2007 à 10:06
merci bien à vous deux, mais là, je laisse tomber.
j'ai installé tous les trucs possibles pour le supprimer, et finalement, j'ai rechoppé plus de merdes qu'avant.
du coup, je voudrais juste savoir ce que je risque de laisser:
trojan.vundo.DLM dans system32\urqqnml.dll
avant le prochain format c: ...
mais pour le moment, pas le courage
voili,
merci
karine
0
Réponse 6 / 20
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
19 avril 2007 à 10:09
j'ai rechoppé plus de merdes qu'avant


Peux tu me dire ce que tu as fait exactement
Le rapport AVG ?

Le rapport Bitdefender ?

Refais un log hitjakthis
stp

0
Réponse 7 / 20
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 avril 2007 à 10:29
Bonjour K4rine, salut Marie,

Ne laisse pas tomber, un ordi infecté voit ses sécurités baisser et les infections progresser.

Les risques :
que l'ordi devienne incontrôlable

qu'il soit utilisé par un pirate

que les infos personnelles soient volées.

Donc il faut stopper ça. D'autant plus que tu n'as pas que vundo.

1) tu n'as pas réinstallé ton parefeu. A faire en urgence.

2) Relances Hijackthis, choisi do a scan only.

Coche la case devant :
O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe

fermes toutes les fenêtres, sauf Hijackthis) et clique sur fixe checked.

Ferme Hijackthis

Par la fonction recherche de Windows, cherche le nom complet de winmsfws.exe. Mets toi sur ce fichier par l'explorateur Windows et supprime le.

3) Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

4) remets un rapport Hijackthis.

@+
0
Réponse 8 / 20
^^Marie^^ Messages postés 113929 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 274
19 avril 2007 à 10:31
C'est ça que j'aime,

Le travail d'équipe.

Bonjour Lyonnais
0
Réponse 9 / 20
K4rine Messages postés 8 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 19 avril 2007
19 avril 2007 à 11:43
alors voilà le rapport
Logfile of HijackThis v1.99.1
Scan saved at 11:32:22, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
c:\program files\softwin\bitdefender professional edition\bdmcon.exe
C:\Documents and Settings\Krine\Bureau\HijackThis.exe

O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\system32\urqqnml.dll
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\program files\softwin\bitdefender professional edition\bdnagent.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O20 - Winlogon Notify: urqqnml - C:\WINDOWS\SYSTEM32\urqqnml.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

donc pas possible de decocher:

O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe



pour ce qui est de virtumundo:

[04/19/2007, 11:33:17] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Krine\Bureau\VirtumundoBeGone.exe" )
[04/19/2007, 11:33:59] - Detected System Information:
[04/19/2007, 11:33:59] - Windows Version: 5.1.2600, Service Pack 2
[04/19/2007, 11:33:59] - Current Username: Krine (Admin)
[04/19/2007, 11:33:59] - Windows is in NORMAL mode.
[04/19/2007, 11:33:59] - Searching for Browser Helper Objects:
[04/19/2007, 11:33:59] - BHO 1: {9DED2B32-743B-47EB-874C-28AECF2A268D} ()
[04/19/2007, 11:33:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/19/2007, 11:33:59] - Checking for HKLM\...\Winlogon\Notify\urqqnml
[04/19/2007, 11:33:59] - Found: HKLM\...\Winlogon\Notify\urqqnml - This is probably Virtumundo.
[04/19/2007, 11:33:59] - Assigning {9DED2B32-743B-47EB-874C-28AECF2A268D} MSEvents Object
[04/19/2007, 11:33:59] - BHO list has been changed! Starting over...
[04/19/2007, 11:33:59] - BHO 1: {9DED2B32-743B-47EB-874C-28AECF2A268D} (MSEvents Object)
[04/19/2007, 11:33:59] - ALERT: Found MSEvents Object!
[04/19/2007, 11:33:59] - Finished Searching Browser Helper Objects
[04/19/2007, 11:33:59] - *** Detected MSEvents Object
[04/19/2007, 11:33:59] - Trying to remove MSEvents Object...
[04/19/2007, 11:34:00] - Terminating Process: IEXPLORE.EXE
[04/19/2007, 11:34:01] - Terminating Process: RUNDLL32.EXE
[04/19/2007, 11:34:01] - Disabling Automatic Shell Restart
[04/19/2007, 11:34:01] - Terminating Process: EXPLORER.EXE
[04/19/2007, 11:34:01] - Suspending the NT Session Manager System Service
[04/19/2007, 11:34:01] - Terminating Windows NT Logon/Logoff Manager
[04/19/2007, 11:34:02] - Re-enabling Automatic Shell Restart
[04/19/2007, 11:34:02] - File to disable: C:\WINDOWS\system32\urqqnml.dll
[04/19/2007, 11:34:02] - Renaming C:\WINDOWS\system32\urqqnml.dll -> C:\WINDOWS\system32\urqqnml.dll.vir
[04/19/2007, 11:34:02] - ! File rename was unsucessful.
[04/19/2007, 11:34:02] - Attempting to Deny Access to C:\WINDOWS\system32\urqqnml.dll
[04/19/2007, 11:34:03] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[04/19/2007, 11:34:03] - ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

[04/19/2007, 11:34:03] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[04/19/2007, 11:34:03] - Removing HKLM\...\Browser Helper Objects\{9DED2B32-743B-47EB-874C-28AECF2A268D}
[04/19/2007, 11:34:03] - Removing HKCR\CLSID\{9DED2B32-743B-47EB-874C-28AECF2A268D}
[04/19/2007, 11:34:03] - Adding Kill Bit for ActiveX for GUID: {9DED2B32-743B-47EB-874C-28AECF2A268D}
[04/19/2007, 11:34:03] - Deleting ATLEvents/MSEvents Registry entries
[04/19/2007, 11:34:03] - Removing HKLM\...\Winlogon\Notify\urqqnml
[04/19/2007, 11:34:03] - Searching for Browser Helper Objects:
[04/19/2007, 11:34:03] - Finished Searching Browser Helper Objects
[04/19/2007, 11:34:03] - Finishing up...
[04/19/2007, 11:34:03] - A restart is needed.
[04/19/2007, 11:34:14] - Attempting to Restart via STOP error (Blue Screen!)



parcontre j'en ai marre de telecharger tous les trucs possibles, ils font plus ou moins tous la meme chose et ca m'avance à rien si ce n'est d'avoir un pc gavé de logiciels antispyware...
alors je c bien qu'un trojan vundo c'est pas terrible, mais je voudrais qd meme bien savoir ce que celui ci fait à mon pc, en sachant que je suis quand meme protegé par bitdefender, que j'ai le firewall, que j'utilise mozilla et que je vais plus ou moins toujours sur les memes sites

merci
0
Réponse 10 / 20
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 avril 2007 à 12:12
Re,

remets un log Hijackthis, ainsi que les rapports de AVG AS et Bit defender comme demandé par Marie.

Pour les téléchargements, il faudra supprimer du pc vundofix, virtumundobegone et HijackThis.

Pour le reste, Ccleaner, Spybot, AVG AS et Ad aware, c'est le tarif minimal.

Et à propos de firewall, quel est le tien ?
@+
0
Réponse 11 / 20
K4rine Messages postés 8 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 19 avril 2007
19 avril 2007 à 12:38
le log de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12:26:47, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Documents and Settings\Krine\Bureau\HijackThis.exe

O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\program files\softwin\bitdefender professional edition\bdnagent.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

avg, impossible de faire une update, il reste completement planté, et par contre, si je lance l'analyse sans la mise à jour, ca me plante le pc au bout de 18mn d'analyse, enfin ca le reboote, donc pas cool

bitdefender scan online, pareil, j'accepte l'activeX, mais j'ai un message:
this web site is not authorized to host this activeX control
donc pas possible


pour le firewall, j'ai bitdefender pro avec le firewall,

voili voilou,
karine
0
Réponse 12 / 20
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 avril 2007 à 12:56
Re,

les choses se compliquent.

Cherche si C:\WINDOWS\system32\urqqnml.dll
est encore présent sur l'ordi. Si oui, tu le supprimes.


Cherche le nom complet de ce fichier : winmsfws.exe et mets le dans ta réponse.

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.


Va sur ce lien et télécharge Blacklight(de F-Secure) :
< https://www.f-secure.com/en > et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
< https://www.malekal.com/tutorial-f-secure-blacklight/ >
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.

@+
0
K4rine Messages postés 8 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 19 avril 2007
19 avril 2007 à 13:12
bonne surprise
en fait vundo etait dans urqqnml, avant de le supprimer, j'ai voulu refaire un test avec bitdefender en l'analysant et pour la 1ere fois il a accepté quand je lui ai demandé de l'effacer après qu'il ait echoué pour la desinfection.
donc là, il ne me semble plus etre là, je suis en train de relancer une analyse totale, et je te tiens au courant,

mais merci, je crois qu'on l'a eu à l'usure
0
Réponse 13 / 20
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 avril 2007 à 13:17
Re,

je savais que vundo était dans ce fichier.

J'avais lu rapidement le rapport de virtumundo qui me semblait avoir bien fonctionné (ce qui était en partie vrai).

Mais il y avait des problèmes résiduels : impossibilité de renommer le fichier et de le tuer par Killbox. Tu as confirmé ces problèmes ; pas de MAJ possible de AVG, plantage en cours de scan, impossibilité de faire tourner Bit Defender.

Bon, on verra après les rapports de Bit Defender et AVG (mis à jour) ce qu'il en est et si Smitfraudfix et Blacklight restent indispensables.
@+
0
Réponse 14 / 20
K4rine Messages postés 8 Date d'inscription lundi 16 avril 2007 Statut Membre Dernière intervention 19 avril 2007
19 avril 2007 à 13:26
c'etait une affirmation le fait de dire qu'il est dans le fichier dll, sauf que depuis 3 jours, à chaque fois que j'essayais de faire qqchse, ca ne fonctionnait pas, bitdefender me disait seulement qu'il etait dans ce fichier, mais il ne pouvait rien faire. par contre, à l'instant, j'ai pu le faire et apres analyse avec mon antivirus bitdefender, et non celui en ligne, j'ai plus de virus signalé sur c:
et etant donné que c'est la seule chose qui m'embetait et que maintenant il est plus là, tout va bien
merci,
karine
0
Réponse 15 / 20
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
19 avril 2007 à 18:17
Bonsoir,

la mise à jour d'AVG se fait ?

AVG scanne tout l'ordi ? Sans rien trouver ?
@+
0
Réponse 16 / 20
Ketchup
24 sept. 2007 à 00:24
Bonjour,

Même problème que Marie je suppose. Bif defender qui repere le truc mais avec le sentiment que le trojan est toujours en tache de fond.
Hijack me donne ceci:

Logfile of HijackThis v1.99.1
Scan saved at 0:14:33, on 24/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lagrosseradio.com/emission/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.be/s/v/22.26/uploader2.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

ps: j'ai "déjà" fait tourner CCleaner

Est ce possible que l'orsque j'ai branché un disque externe d'un pot. j'ai infecté celui- également ? suis un peu mal par rapport à cela ..help

Encore merci à vous les spécialistes de la lecture de rapport incompréhensible pour moi :-(

Ketchup
0
Réponse 17 / 20
Ketchup
24 sept. 2007 à 00:34
Pour être complet voici le rapport de Bit defender


//-----------------------------------------------------------------
//
// Product: BitDefender Professional Edition v7.2
// Version: (no ver)
//
// Created on: 23/09/2007 04:51:39
//
//-----------------------------------------------------------------


Statistics

Scan path : C:\
E:\
F:\
G:\
Folders : 13583
Files : 855352
Archives : 5815
Packed files : 74928
Identified viruses : 4
Infected files : 9
Warnings : 0
Suspect files : 8
Disinfected files : 0
Deleted files : 0
Copied files : 0
Moved files : 4
Renamed files : 0
I/O errors : 37
Scan time : 01:23:48
Scan speed (files/sec) : 170

Virus definitions : 823360
Scan plugins : 14
Archive plugins : 38
Unpack plugins : 7
Mail plugins : 6
System plugins : 1

Scan options

Detection
[X] Scan boot sectors
[X] Scan archives
[X] Scan packed files
[X] Scan email

File mask
[ ] Programs
[X] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Action

Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Copy to quarantine
[ ] Move to quarantine
[ ] Rename
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[ ] Copy to quarantine
[X] Move to quarantine
[ ] Rename
[ ] Prompt user

Scan options
[X] Enable warnings
[X] Enable heuristics
[ ] Show all files in log
[X] Report file: vscan.log
[ ] Append to existing report

Summary:

C:\Program Files\Softwin\BitDefender Professional Edition\Infected\EPPmsg.dll Infected Trojan.Downloader.ConHook.AI
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\EPPmsg.dll Disinfection failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\EPPmsg.dll Move failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp7.tmp.dll Infected Trojan.BHO.AU
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp7.tmp.dll Disinfection failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp7.tmp.dll Move failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\UpdReg.EXE Infected Trojan.Clicker.Agent.JH
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\UpdReg.EXE Disinfection failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\UpdReg.EXE Move failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp12.tmp.dll Infected Trojan.BHO.AU
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp12.tmp.dll Disinfection failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp12.tmp.dll Move failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013763.dll Infected Trojan.Downloader.ConHook.AI
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013763.dll Disinfection failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013763.dll Moved
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013764.dll Infected Trojan.BHO.AU
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013764.dll Disinfection failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013764.dll Moved
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013765.EXE Infected Trojan.Clicker.Agent.JH
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013765.EXE Disinfection failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013765.EXE Moved
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013766.dll Infected Trojan.BHO.AU
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013766.dll Disinfection failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013766.dll Moved
E:\Backup\1\ICQ\icq99b_nomfc.exe=>wise0021 Infected Backdoor.Ip.Protect.A
E:\Backup\1\ICQ\icq99b_nomfc.exe=>wise0021 Disinfection failed
E:\Backup\1\ICQ\icq99b_nomfc.exe=>wise0021 Move failed
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf) Suspect Exploit.Iframe.Vulnerability
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf) Disinfection failed
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(IFRAME) Suspect Exploit.Iframe.Vulnerability
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Suspect Exploit.Iframe.Vulnerability
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Disinfection failed
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html)=>(IFRAME) Suspect Exploit.Iframe.Vulnerability
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf) Suspect Exploit.Iframe.Vulnerability
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf) Disinfection failed
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(IFRAME) Suspect Exploit.Iframe.Vulnerability
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Suspect Exploit.Iframe.Vulnerability
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Disinfection failed
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html)=>(IFRAME) Suspect Exploit.Iframe.Vulnerability

Scanned files

c'est grave docteur?

Merci

Ketchup
0
Réponse 18 / 20
Speid29 Messages postés 88 Date d'inscription vendredi 28 septembre 2007 Statut Membre Dernière intervention 4 juin 2020 1
18 mai 2008 à 15:41
Bonjour à toutes et à tous,

même problème pour moi, voici le log de Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:01, on 18/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tgbstarter.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Power Manager\PM.exe
C:\Program Files\Hotkey Management\FuncKey.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Program Files\PC Booster\PCBooster.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Documents and Settings\All Users\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\wincmd\WINCMD32.EXE
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [FuncKey] "C:\Program Files\Hotkey Management\FuncKey.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [PC Booster] C:\Program Files\PC Booster\PCBooster.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [HPWRTOOLBOX] C:\Program Files\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe "-i"
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\Julie\LOCALS~1\Temp\stdcons.exe/r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MalWarrior] "C:\Documents and Settings\All Users\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://section-f.spaces.live.com//PhotoUpload/MsnPUpld.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TgbIke Starter (TgbIKE Starter) - Unknown owner - C:\WINDOWS\system32\tgbstarter.exe
0
Réponse 19 / 20
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 mai 2008 à 15:42
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
A bientôt
0
Speid29 Messages postés 88 Date d'inscription vendredi 28 septembre 2007 Statut Membre Dernière intervention 4 juin 2020 1
18 mai 2008 à 16:41
Merci Lyonnais, message posté ;-)
0
Réponse 20 / 20
Dracia
5 juin 2008 à 11:13
Bonjour a tous, Apres avoir eu le meme probleme que les personnes de ce post je viens vous proposer une solution beaucoup plus simple qui en tous cas a marcher pour moi :) . Cette solution vaut principalement pour les utiisateur de bitdefendeur que savent qu'ils sont infecter mais ne peuvent pas supprimer le fichier incriminé . Ou pour les autres qui coinnaitrait le nom du fichier aleatoirement crée .

Telecharger simplement un programme appeller " Eraser" . Un fois fait installez-le , puis une fois fais vous devriez avoir quand vous faites clique droit sur le fichier infecter dans votre dossier C\Windows\system32\ .... . dll une option supplémentaire qui se nomme " Erase " .
Faite donc cela sur votre fichier . L'opération echouera . Toutefois Eraser vous propose alors d'effacer ce fichier automatiquement apres le redemarage de votre pc . Ainsi le processus lier a Vundo n'aura pas encore demarer et vous pourrez detruire le fichier :)


En esperant que ca aide certain ;)
0