Problème Virtumonde/awvts.dll
Fermé
fabtor
-
22 janv. 2008 à 15:25
fabtor Messages postés 11 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 2 août 2008 - 25 janv. 2008 à 13:47
fabtor Messages postés 11 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 2 août 2008 - 25 janv. 2008 à 13:47
29 réponses
Utilisateur anonyme
24 janv. 2008 à 16:33
24 janv. 2008 à 16:33
regarde sur se lien ce que tu as instale ! https://www.hijackfree.net/
regarde le status de MPPoker.exe !
regarde le status de MPPoker.exe !
Bizarre... Je comprends pas tout, C'est juste une partie de l'application qui est un malware ou c'est mon logiciel entier? Si je supprime la ligne, le logiciel ne marchera plus? :(
Utilisateur anonyme
24 janv. 2008 à 16:51
24 janv. 2008 à 16:51
il me faudrais le rapport sdfix stp
telecharge sdFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Télécharge le sur le bureau
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
telecharge sdFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Télécharge le sur le bureau
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
fabtor
Messages postés
11
Date d'inscription
mardi 22 janvier 2008
Statut
Membre
Dernière intervention
2 août 2008
24 janv. 2008 à 16:53
24 janv. 2008 à 16:53
ok c'est parti!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
fabtor
Messages postés
11
Date d'inscription
mardi 22 janvier 2008
Statut
Membre
Dernière intervention
2 août 2008
24 janv. 2008 à 17:25
24 janv. 2008 à 17:25
Voilà:
SDFix: Version 1.131
Run by Fabtor on 2008-01-24 at 17:02
Microsoft Windows XP [version 5.1.2600]
Running From: D:\DOCUME~1\Fabtor\Bureau\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
D:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
D:\Documents and Settings\Fabtor\Local Settings\Temp\ubi1E8.tmp.exe - Deleted
D:\WINDOWS\system32\TFTP3004 - Deleted
D:\WINDOWS\system32\TFTP3440 - Deleted
D:\WINDOWS\system32\TFTP4000 - Deleted
Removing Temp Files...
ADS Check:
D:\WINDOWS
No streams found.
D:\WINDOWS\explorer.exe
No streams found.
D:\WINDOWS\system32
No streams found.
D:\WINDOWS\system32\svchost.exe
No streams found.
D:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-24 17:12:35
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:1dd7ba2f
"s2"=dword:9fa386fb
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:4b,04,1a,b4,29,2f,0c,e4,72,81,a4,3f,3e,83,40,b7,fd,74,d4,ee,0e,..
"p0"="D:\Program Files\DAEMON Tools\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a3,3a,84,b1,e8,6d,1b,ee,df,35,88,d8,d5,24,c8,06,05,..
"khjeh"=hex:fe,7a,25,ec,56,a0,3e,e5,2b,71,81,db,0a,15,1a,a5,86,a9,4b,ef,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:23,84,3b,37,97,28,31,6b,04,3a,30,54,0c,d6,ca,03,79,c9,f9,81,70,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b4,17,1a,9b,c9,fc,83,39,21,4b,09,9f,b8,f3,a7,3b,13,1a,e4,eb,a5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:4b,04,1a,b4,29,2f,0c,e4,72,81,a4,3f,3e,83,40,b7,fd,74,d4,ee,0e,..
"p0"="D:\Program Files\DAEMON Tools\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a3,3a,84,b1,e8,6d,1b,ee,df,35,88,d8,d5,24,c8,06,05,..
"khjeh"=hex:fe,7a,25,ec,56,a0,3e,e5,2b,71,81,db,0a,15,1a,a5,86,a9,4b,ef,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:23,84,3b,37,97,28,31,6b,04,3a,30,54,0c,d6,ca,03,79,c9,f9,81,70,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b4,17,1a,9b,c9,fc,83,39,21,4b,09,9f,b8,f3,a7,3b,13,1a,e4,eb,a5,..
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 16
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
File Backups: - D:\DOCUME~1\Fabtor\Bureau\SDFix\backups\backups.zip
Files with Hidden Attributes:
Tue 30 Nov 2004 4,348 ..SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Finished!
SDFix: Version 1.131
Run by Fabtor on 2008-01-24 at 17:02
Microsoft Windows XP [version 5.1.2600]
Running From: D:\DOCUME~1\Fabtor\Bureau\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
D:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
D:\Documents and Settings\Fabtor\Local Settings\Temp\ubi1E8.tmp.exe - Deleted
D:\WINDOWS\system32\TFTP3004 - Deleted
D:\WINDOWS\system32\TFTP3440 - Deleted
D:\WINDOWS\system32\TFTP4000 - Deleted
Removing Temp Files...
ADS Check:
D:\WINDOWS
No streams found.
D:\WINDOWS\explorer.exe
No streams found.
D:\WINDOWS\system32
No streams found.
D:\WINDOWS\system32\svchost.exe
No streams found.
D:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-24 17:12:35
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:1dd7ba2f
"s2"=dword:9fa386fb
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:4b,04,1a,b4,29,2f,0c,e4,72,81,a4,3f,3e,83,40,b7,fd,74,d4,ee,0e,..
"p0"="D:\Program Files\DAEMON Tools\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a3,3a,84,b1,e8,6d,1b,ee,df,35,88,d8,d5,24,c8,06,05,..
"khjeh"=hex:fe,7a,25,ec,56,a0,3e,e5,2b,71,81,db,0a,15,1a,a5,86,a9,4b,ef,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:23,84,3b,37,97,28,31,6b,04,3a,30,54,0c,d6,ca,03,79,c9,f9,81,70,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b4,17,1a,9b,c9,fc,83,39,21,4b,09,9f,b8,f3,a7,3b,13,1a,e4,eb,a5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:4b,04,1a,b4,29,2f,0c,e4,72,81,a4,3f,3e,83,40,b7,fd,74,d4,ee,0e,..
"p0"="D:\Program Files\DAEMON Tools\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,a3,3a,84,b1,e8,6d,1b,ee,df,35,88,d8,d5,24,c8,06,05,..
"khjeh"=hex:fe,7a,25,ec,56,a0,3e,e5,2b,71,81,db,0a,15,1a,a5,86,a9,4b,ef,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:23,84,3b,37,97,28,31,6b,04,3a,30,54,0c,d6,ca,03,79,c9,f9,81,70,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b4,17,1a,9b,c9,fc,83,39,21,4b,09,9f,b8,f3,a7,3b,13,1a,e4,eb,a5,..
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 16
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
File Backups: - D:\DOCUME~1\Fabtor\Bureau\SDFix\backups\backups.zip
Files with Hidden Attributes:
Tue 30 Nov 2004 4,348 ..SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Finished!
fabtor
Messages postés
11
Date d'inscription
mardi 22 janvier 2008
Statut
Membre
Dernière intervention
2 août 2008
25 janv. 2008 à 00:01
25 janv. 2008 à 00:01
Bonsoir
Non Combo ne marche plus du tout!
1er message d'erreur: nircmd.com n'est pas une application valide
Puis Spy Doctor s'active:
Menace: Trojan NirCmd
D:\COMBOFIX\NIRCMD.CFEXE
Et enfin: window ne peut pas ouvrir ce fichier nircmd.cfexe. Voulez vous choisir un programme pour l'ouvrir?
Je l'ai effacé et retelechargé mais c'est pareil...
Non Combo ne marche plus du tout!
1er message d'erreur: nircmd.com n'est pas une application valide
Puis Spy Doctor s'active:
Menace: Trojan NirCmd
D:\COMBOFIX\NIRCMD.CFEXE
Et enfin: window ne peut pas ouvrir ce fichier nircmd.cfexe. Voulez vous choisir un programme pour l'ouvrir?
Je l'ai effacé et retelechargé mais c'est pareil...
Utilisateur anonyme
25 janv. 2008 à 00:05
25 janv. 2008 à 00:05
ok hors connection fait un clic droit sur l'icone de spyware docteur et quitter lance combofix comme indique quand il a finit copie reactive spyware docteur et poste moi le rapport combofix !
fabtor
Messages postés
11
Date d'inscription
mardi 22 janvier 2008
Statut
Membre
Dernière intervention
2 août 2008
25 janv. 2008 à 13:47
25 janv. 2008 à 13:47
Bonjour,
Combofix me fait toujours la même erreur... Juste une petite question (au cas où), il y a une manip spéciale pour être hors connection? Moi je débranche mon router afin d'être sûr...
Si on arrive pas à tout oter c'est pas grave, maintenant il tourne déjà beaucoup mieux qu'il y a 1 semaine et pour ça je te remercie vraiment!
Combofix me fait toujours la même erreur... Juste une petite question (au cas où), il y a une manip spéciale pour être hors connection? Moi je débranche mon router afin d'être sûr...
Si on arrive pas à tout oter c'est pas grave, maintenant il tourne déjà beaucoup mieux qu'il y a 1 semaine et pour ça je te remercie vraiment!