Slt,


scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php­

______________

colle un rapport hijackthis

http://www.trendsecure.com/portal/en-US/tools/security_tools­/hijackthis/download

manuel :

http://leblogdeclaude.blogspot.com/2006/10/informatique-sect­ion-hijackthis.html


Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

http://siri.urz.free.fr/Fix/SmitfraudFix.php

Pour reparer windows

http://www.pcastuces.com/pratique/windows/xp/1340.htm


ou ici
http://www.informatruc.com/reparer.php

Salut

Alors j'ai téléchargé et installé MalwareByte's Anti-Malware.
J'ai lancé un premier scann sous windows en mode sans échec. Il m'a trouvé 20 infections (donc plusieurs par Vundo). Je lui est donc fait supprimer ce qu'il a trouvé et il m'a demandé de redémarer windows pour finir la désinfection. J'ai donc redémarré l'ordinateur a nouveau en mode sans échec et j'ai refait un scann. Il m'a trouvé 15 infections. Donc visiblement, le coup d'avant il a pas tous traité !! A la fin du 2ème scann, je lui demande de supprimer ce qu'il a trouvé et il me demande a nouveau de redémarrer l'ordinateur. Je le redémarre a nouveau, mais en mode normal cette foi. Je vais sur internet et j'ai a nouveau des fenêtres de pub. Il reste donc des trucs que MalwareByte's Anti-Malware n'a toujours pas supprimé.

Voici le premier rapport de MalwareByte's Anti-Malware
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 926
Windows 5.1.2600 Service Pack 2

14:04:12 06/07/2008
mbam-log-7-6-2008 (14-04-12).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 130871
Temps écoulé: 1 hour(s), 17 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{c70a428a-2c15-495a-9bcc-47af5f3e5e4c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\9c368761 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\etdsbiqr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqibsdte.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\Jeux\Local Settings\Temporary Internet Files\Content.IE5\L1QBECWW\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Lucile\Local Settings\Temporary Internet Files\Content.IE5\DKSZRRQC\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\99STQ0AK\css4[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcvt4j0ec4e.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rqRLdAtq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcvt4j0ec4e.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temp\media.php (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Et voici le 2ème :
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 926
Windows 5.1.2600 Service Pack 2

19:50:11 06/07/2008
mbam-log-7-6-2008 (19-50-11).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 131009
Temps écoulé: 1 hour(s), 17 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7893dd81-019a-4165-a1b2-69dd66a61fa8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoommd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{84c53226-c282-41fe-a4b4-8f05cc5ec24b} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqnfuvu -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\urqNFuvu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\uvuFNqru.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uvuFNqru.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUoomMd.dll (Trojan.Vundo) -> Delete on reboot.

Je vais maintenand faire le log hijackthis et je vous le transmet.

Merci pour votre aide.

F-MATH

Ok il en reste

Télécharge Combofix de sUBs : aide ici : http://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: http://bibou0007.forumpro.fr/tutos-f45/tutorial-combofix-t121.htm

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as essayé smitfraudfix ?

Slt les infections sont de type vundo

ici et smitfraudfix n'agit pas dessus

O2 - BHO: (no name) - {84C53226-C282-41FE-A4B4-8F05CC5EC24B} - C:\WINDOWS\system32\vtUoomMd.dll
O2 - BHO: (no name) - {FC73EF22-9188-41A7-AEC5-9D42BC1E240D} - C:\WINDOWS\system32\urqNFuvu.dll
O4 - HKLM\..\Run: [9c368761] rundll32.exe "C:\WINDOWS\system32\orxejpgp.dll",b
O20 - Winlogon Notify: vtUoomMd - C:\WINDOWS\SYSTEM32\vtUoomMd.dll

Ok

Salut

Ok je vais utiliser Combofix.
Par contre, j'aimerais comprendre un peu ce que je fait parce que je m'aperçoit que niveau lutte contre les trojan et autre, je suis un peux largué.
MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?
Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?
En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?

Merci

F-MATH

MalwareByte's Anti-Malware est bien d'arpès ce que j'ai compris, un logiciel pour viré tous ce qui est malware et trojan, comme ad-ware ?

OUI C'est Ca et c'est le mieux actuellement

______________

Comment ce fait il qu'il ne soit pas capable de supprimer tous les trojan qu'il a trouvé, notamment Vundo. D'ailleur qu'est ce Vundo car il à l'air coriace ?

oui vundo est très coriace, il faut utiliser des logiciels specialisés, comme malwarebyte's et surtout le top combofi pour cela
mais d'autres logiciels parfois : pour info:

http://www.secuser.com/alertes/2005/vundo-virtumonde.htm
________________
En parcourant le forum, j'ai vue que suivant l'infection d'un PC par tel ou tel ver, il faut utiliser un fix différent. Il n'y a donc pas de logiciel capable de supprimé correctement tous les vers ?

oui ils font souvent en utiliser plusieurs

Salut

J'ai donc executé combofix.
Voici le rapport :

ComboFix 08-07-05.1 - Mathieu 2008-07-08 10:12:24.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.679 [GMT 2:00]
Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\crspuorb.ini
C:\WINDOWS\system32\ddcAsspP.dll
C:\WINDOWS\system32\fkuiqtbo.ini
C:\WINDOWS\system32\kSvxyJjl.ini
C:\WINDOWS\system32\kSvxyJjl.ini2
C:\WINDOWS\system32\ljJyxvSk.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJbayAS.dll
C:\WINDOWS\system32\mVvxyyxx.ini
C:\WINDOWS\system32\mVvxyyxx.ini2
C:\WINDOWS\system32\pgpjexro.ini
C:\WINDOWS\system32\PpssAcdd.ini
C:\WINDOWS\system32\PpssAcdd.ini2
C:\WINDOWS\system32\qqwmhywf.ini
C:\WINDOWS\system32\qxdxwpjh.ini
C:\WINDOWS\system32\SAyabJlm.ini
C:\WINDOWS\system32\SAyabJlm.ini2
C:\WINDOWS\system32\tiftueuo.ini
C:\WINDOWS\system32\urqNFuvu.dll
C:\WINDOWS\system32\uvuFNqru.ini
C:\WINDOWS\system32\uvuFNqru.ini2
C:\WINDOWS\system32\vhjnyqea.ini
C:\WINDOWS\system32\xtcxdfjv.ini
C:\WINDOWS\system32\xxyyxvVm.dll
C:\WINDOWS\temp\perflib_perfdata_1cc.dat

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-08 to 2008-07-08 ))))))))))))))))))))))))))))))))))))
.

2008-07-07 21:54 . 2008-07-07 21:54 89,088 --a------ C:\WINDOWS\system32\aeqynjhv.dll
2008-07-07 14:37 . 2008-07-07 14:37 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\McAfee
2008-07-06 22:01 . 2008-07-06 22:02 <REP> d-------- C:\HijackThis
2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-06 11:05 . 2008-07-06 11:05 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 11:04 . 2008-07-06 11:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-05 16:40 . 2008-07-05 16:40 <REP> d-------- C:\Documents and Settings\Jeux\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 <REP> d-------- C:\Documents and Settings\Lucile\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm
2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm
2008-07-03 12:37 . 2008-07-03 12:37 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee
2008-06-30 18:39 . 2008-06-30 18:41 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\rhcrt4j0ec4e
2008-06-30 18:35 . 2008-06-30 18:35 28,288 --------- C:\WINDOWS\system32\vtUoomMd.dll
2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm
2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm
2008-06-22 10:15 . 2008-06-22 12:36 <REP> d-------- C:\Images CD
2008-06-22 09:53 . 2008-06-22 09:53 <REP> d-------- C:\Program Files\Alcohol Soft
2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini
2008-06-20 22:06 . 2008-06-30 18:34 <REP> d-------- C:\Program Files\uTorrent
2008-06-20 22:05 . 2008-06-30 18:29 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent
2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys
2008-06-15 14:28 . 2008-06-15 14:28 <REP> d-------- C:\Program Files\Fichiers communs\TI Shared
2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 21:16 . 2008-06-12 21:16 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-09 14:37 . 2008-06-09 14:37 <REP> d--h----- C:\WINDOWS\PIF
2008-06-08 17:26 . 2008-06-08 17:26 268 --ah----- C:\sqmdata02.sqm
2008-06-08 17:26 . 2008-06-08 17:26 244 --ah----- C:\sqmnoopt02.sqm
2008-06-08 11:52 . 2008-06-08 11:52 45 --a------ C:\WINDOWS\system32\initdebug.nfo

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-06 19:05 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2
2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee
2008-06-15 11:35 --------- d-----w C:\Program Files\Google
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2
2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc
2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab
2008-06-01 13:40 --------- d-----w C:\Program Files\Java
2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-01 07:41 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-01 07:41 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL
2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor
2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc
2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft
2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer
2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft
2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-30 19:37 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-18 17:34 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2008-04-18 17:34 2,272 ----a-w C:\WINDOWS\system32\w95inf16.dll
2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP
2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP
2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP
2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP
1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
2008-06-30 18:35 28288 --------- C:\WINDOWS\system32\vtUoomMd.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 21:22 589824]
"mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
"SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
"McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576]
"ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824]
"Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
"MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]
"9c368761"="C:\WINDOWS\system32\aeqynjhv.dll" [2008-07-07 21:54 89088]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"= "C:\WINDOWS\system32\vtUoomMd.dll" [2008-06-30 18:35 28288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUoomMd]
2008-06-30 18:35 28288 C:\WINDOWS\system32\vtUoomMd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Logiciels\\iTunes\\iTunes.exe"=
"C:\\Jeux\\ArmA Demo\\ArmADemo.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=

R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23]
R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe'
"2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-08 10:22:04
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\vtUoomMd.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Program Files\SiteAdvisor\6261\saHook.dll
-> C:\WINDOWS\system32\aeqynjhv.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe
C:\Program Files\McAfee\MPF\MpfSrv.exe
C:\Program Files\McAfee\MSK\msksrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-08 10:29:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-08 08:28:55

Pre-Run: 56,310,734,848 octets libres
Post-Run: 56,817,934,336 octets libres

208 --- E O F --- 2008-06-20 13:35:45

Merci

F-MATH

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::
C:\WINDOWS\system32\aeqynjhv.dll
C:\WINDOWS\system32\vtUoomMd.dll





Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84C53226-C282-41FE-A4B4-8F05CC5EC24B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"9c368761"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{84C53226-C282-41FE-A4B4-8F05CC5EC24B}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtUoomMd]




Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis et dis tes soucis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Salut

Ok je vais faire ça. Mais ça correspond a quoi en fait ?

Merci

F-MATH

C'est pour virer les 2 fichiers inféctés vundo de ton ordi et quelques clés du registre

Salut

J'ai donc fait la manipulation que tu m'a dit avec le glisser/déposé.
Voici le log combofix :
ComboFix 08-07-05.1 - Mathieu 2008-07-09 17:14:45.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.532 [GMT 2:00]
Endroit: C:\Documents and Settings\Mathieu\Bureau\Combo-Fix.exe
Command switches used :: C:\Documents and Settings\Mathieu\Bureau\CFscript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color

FILE ::
C:\WINDOWS\system32\aeqynjhv.dll
C:\WINDOWS\system32\vtUoomMd.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\amwshcfq.ini
C:\WINDOWS\system32\dngaunjx.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pmnnLCvW.dll
C:\WINDOWS\system32\vtUoomMd.dll
C:\WINDOWS\system32\WvCLnnmp.ini
C:\WINDOWS\system32\WvCLnnmp.ini2

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
.

2008-07-09 17:22 . 2008-07-09 17:22 <REP> d-------- C:\WINDOWS\LastGood
2008-07-09 15:27 . 2008-07-09 15:27 89,088 --a------ C:\WINDOWS\system32\qfchswma.dll
2008-07-08 10:29 . 2008-07-08 10:29 <REP> d-------- C:\Documents and Settings\François
2008-07-08 10:29 . <REP> C:\Documents and Settings\Franþois\Local Settings
2008-07-08 10:29 . <REP> C:\Documents and Settings\Franþois\Local Settings
2008-07-08 10:29 . 2008-07-08 10:29 294 ---hs---- C:\WINDOWS\system32\vhjnyqea.ini
2008-07-07 14:37 . 2008-07-07 14:37 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\McAfee
2008-07-06 22:01 . 2008-07-06 22:02 <REP> d-------- C:\HijackThis
2008-07-06 11:21 . 2008-07-06 11:21 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-06 11:05 . 2008-07-06 11:05 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\Malwarebytes
2008-07-06 11:05 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-06 11:04 . 2008-07-06 11:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-06 11:04 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-05 16:40 . 2008-07-05 16:40 <REP> d-------- C:\Documents and Settings\Jeux\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 <REP> d-------- C:\Documents and Settings\Lucile\Application Data\McAfee
2008-07-03 20:47 . 2008-07-03 20:47 244 --ah----- C:\sqmnoopt04.sqm
2008-07-03 20:47 . 2008-07-03 20:47 232 --ah----- C:\sqmdata04.sqm
2008-07-03 12:37 . 2008-07-03 12:37 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\McAfee
2008-06-30 18:39 . 2008-06-30 18:41 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\rhcrt4j0ec4e
2008-06-22 19:08 . 2008-06-22 19:08 268 --ah----- C:\sqmdata03.sqm
2008-06-22 19:08 . 2008-06-22 19:08 244 --ah----- C:\sqmnoopt03.sqm
2008-06-22 10:15 . 2008-06-22 12:36 <REP> d-------- C:\Images CD
2008-06-22 09:53 . 2008-06-22 09:53 <REP> d-------- C:\Program Files\Alcohol Soft
2008-06-22 09:51 . 2008-06-22 09:51 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-20 22:33 . 2008-06-22 12:19 242 --a------ C:\WINDOWS\Clony2.ini
2008-06-20 22:06 . 2008-06-30 18:34 <REP> d-------- C:\Program Files\uTorrent
2008-06-20 22:05 . 2008-06-30 18:29 <REP> d-------- C:\Documents and Settings\Mathieu\Application Data\uTorrent
2008-06-19 18:41 . 2008-06-08 09:23 10,536 --a------ C:\WINDOWS\system32\drivers\Hmonitor.sys
2008-06-15 14:28 . 2008-06-15 14:28 <REP> d-------- C:\Program Files\Fichiers communs\TI Shared
2008-06-14 09:37 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 21:16 . 2008-06-12 21:16 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-09 14:37 . 2008-06-09 14:37 <REP> d--h----- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 09:16 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\OpenOffice.org2
2008-06-22 06:59 --------- d-----w C:\Program Files\McAfee
2008-06-15 11:35 --------- d-----w C:\Program Files\Google
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-12 18:49 --------- d-----w C:\Documents and Settings\Lucile\Application Data\OpenOffice.org2
2008-06-05 17:17 --------- d-----w C:\Documents and Settings\Lucile\Application Data\vlc
2008-06-01 13:44 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-06-01 13:44 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\SystemRequirementsLab
2008-06-01 13:40 --------- d-----w C:\Program Files\Java
2008-06-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-06-01 07:41 --------- d-----w C:\Program Files\OpenAL
2008-05-24 08:50 --------- d-----w C:\Program Files\SiteAdvisor
2008-05-12 13:07 --------- d-----w C:\Documents and Settings\Marion\Application Data\vlc
2008-05-12 12:51 --------- d-----w C:\Documents and Settings\Marion\Application Data\CDBurnerXP_Soft
2008-05-11 12:35 --------- d-----w C:\Documents and Settings\Jeux\Application Data\Apple Computer
2008-05-09 12:59 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\CDBurnerXP_Soft
2008-05-09 12:55 --------- d-----w C:\Documents and Settings\Mathieu\Application Data\dvdcss
2008-04-15 16:49 558,142 ----a-w C:\WINDOWS\java\Packages\ZPVVZ9VX.ZIP
2008-04-15 16:49 155,995 ----a-w C:\WINDOWS\java\Packages\NXRBV9JH.ZIP
2008-04-15 16:29 558,142 ----a-w C:\WINDOWS\java\Packages\3D79R331.ZIP
2008-04-15 16:29 155,995 ----a-w C:\WINDOWS\java\Packages\KYEYILFT.ZIP
1998-04-26 22:00 570,128 ----a-w C:\Program Files\Fichiers communs\DAO350.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-08_10.28.28.14 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-08 08:20:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-09 15:20:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-07-08 08:02:07 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-09 13:33:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-09 15:20:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_fc.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2005-04-26 21:22 589824]
"mcagent_exe"="C:\Program Files\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
"SiteAdvisor"="C:\Program Files\SiteAdvisor\6261\SiteAdv.exe" [2007-08-24 23:57 36640]
"McENUI"="C:\PROGRA~1\McAfee\MHN\McENUI.exe" [2007-11-30 05:42 1164576]
"ClamWin"="C:\Logiciels\ClamWin\bin\ClamTray.exe" [2008-04-19 16:35 77824]
"Adobe Reader Speed Launcher"="C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Logiciels\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE" [2003-09-11 05:00 99840]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"McAfee Backup"="C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
"MBkLogOnHook"="C:\Program Files\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Logiciels\\iTunes\\iTunes.exe"=
"C:\\Jeux\\ArmA Demo\\ArmADemo.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=

R1 hmonitor;hmonitor;C:\WINDOWS\system32\drivers\hmonitor.sys [2008-06-08 09:23]
R2 NMSAccessU;NMSAccessU;C:\Logiciels\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-28 11:11:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-04-18 11:22:24 C:\WINDOWS\Tasks\McDefragTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe'
"2008-04-18 11:22:23 C:\WINDOWS\Tasks\McQcTask.job"
- c:\PROGRA~1\mcafee\mqc\QcConsol.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 17:27:23
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\MNA\McNASvc.exe
C:\PROGRA~1\FICHIE~1\McAfee\McProxy\McProxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\Mcshield.exe
C:\Program Files\McAfee\MPF\MpfSrv.exe
C:\Program Files\McAfee\MSK\msksrver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\MSC\mcuimgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-09 17:33:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-09 15:32:59
ComboFix2.txt 2008-07-08 08:29:03

Pre-Run: 56,829,935,616 octets libres
Post-Run: 56,808,579,072 octets libres

181 --- E O F --- 2008-06-20 13:35:45

J'ai refait un coup de Hijackthis et voici le log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:58, on 09/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Logiciels\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\System32\snmp.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\SiteAdvisor\6261\SiteAdv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Logiciels\ClamWin\bin\ClamTray.exe
C:\Logiciels\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Logiciels\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [ClamWin] "C:\Logiciels\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logiciels\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Logiciels\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O5 "LPT1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [McAfee Backup] C:\Program Files\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.12) - http://gameadvisor.futuremark.com/global/msc3121.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Logiciels\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe
End of file - 7734 bytes


Au niveau de mes soucis, quand j'ai fait le premier combofix, après quand je me baladais sur internet j'avais encore quelques pub donc y restait encore des trucs. Maintenand, pour l'instant j'ai pas encore trop navigué depuis le nouveau coup de combofix donc je peux pas te dire. Sinon au 2 coup de combofix, il m'a remi internet explorer en naviguateur par défaut au lieux de firefox.

Merci

F-MATH

Ok tu peux remettre firefox par defaut si tu veux via les option de firefox puis general

_______________


analyse ce fichier sur virus total et colle le rapport: http://www.virustotal.com/fr/

C:\WINDOWS\system32\qfchswma.dll

Salut

Voici le résultat

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.10.0 2008.07.09 -
AntiVir 7.8.0.64 2008.07.09 -
Authentium 5.1.0.4 2008.07.08 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.09 -
BitDefender 7.2 2008.07.09 -
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.09 -
DrWeb 4.44.0.09170 2008.07.09 Trojan.Virtumod.based.18
eSafe 7.0.17.0 2008.07.08 Suspicious File
eTrust-Vet 31.6.5940 2008.07.09 -
Ewido 4.0 2008.07.09 -
F-Prot 4.4.4.56 2008.07.08 -
F-Secure 7.60.13501.0 2008.07.08 -
Fortinet 3.14.0.0 2008.07.09 -
GData 2.0.7306.1023 2008.07.09 -
Ikarus T3.1.1.26.0 2008.07.09 Trojan.Win32.Monderb
Kaspersky 7.0.0.125 2008.07.09 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.09 Trojan:Win32/Vundo.gen!E
NOD32v2 3255 2008.07.09 -
Norman 5.80.02 2008.07.09 -
Panda 9.0.0.4 2008.07.09 Suspicious file
Prevx1 V2 2008.07.09 Fraudulent Security Program
Rising 20.52.22.00 2008.07.09 -
Sophos 4.31.0 2008.07.09 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.09 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.09 -
VBA32 3.12.6.8 2008.07.08 -
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.09 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 89088 bytes
MD5...: 254daea47110b81436254dac4d6ae36d
SHA1..: 1714c8c0df5cbcae3264e462d5fe2b40c6610d2e
SHA256: 703e17edb8a7533a29c22a97af7db2aa1713654ddbe389498e500fa89fae­d20d
SHA512: 02904b4ab9b43da42186d8500ac04485bf89d5a9d3f05c514a0b9c0dd5b6­d603
6c41598502ac07c4c757aade2a5cf7aecec00c532f23d0ba12ec8f9e306f­7784
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100014a1
timedatestamp.....: 0x486b4ed7 (Wed Jul 02 09:48:07 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.33 5adf11330d480bf21b1a47b717719524
.rdata 0x3000 0x1000 0x600 3.81 0d779f40936ded1dc0fb2d3e40c0cb49
CODE 0x4000 0x1000 0x800 7.91 63f256b8b79d17d26420815f9ad1e715
CODE 0x5000 0x1000 0x400 7.81 c366b95c508010d1c4a8a1ea1bf3d0bd
.data 0x6000 0x2000 0x1400 7.96 4d6c89074197e2fa1b3cf1bf686ca3fc
.data 0x8000 0x1e000 0xf800 7.99 ec7a210b202c87e8ce32eaf5512baa2a

( 1 imports )
> user32.dll: BeginPaint, EndPaint, GetDesktopWindow, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4609779400B8B1205C4701FF0182650


L'adresse : http://www.virustotal.com/fr/analisis/b9ad8829ee90ea698505c52cbe155960

Alors ca donne quoi ?

Merci

F-MATH

On vire



télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :



C:\WINDOWS\system32\qfchswma.dll


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

____________________

vire ce qui est dans moved files en allant dans poste detravail puis C puis otmovit

_____________________

installe spywareblaster: pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html

____________________

tu peux garder malwarebyte's antimalware en complément de ton antivirus


________________


pour virer le reste que je t'ai fais utiliser lance tools cleaner:

http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner






bonne suite

Salut

J'ai supprimer la dll avec OTMoveIt comme tu me l'a dit.
J'ai ensuite installer spywareblaster et j'ai immunisé le système.
J'ai ensuite utilisé tools cleaner pour supprimer les outils de désinfection. J'ai aussi viré combofix, OTMveIt et tools cleaner.
Donc maintenant, c'est bon le système est clean ?
Je vais effectivement garder malwarebyte's antimalware et je vais l'installer sur mes 2 autres ordis pour faire un contrôle.
Je les j'emmurerais aussi avec spywareblaster.

Merci

F-MATH