Voici mes symptomes en passant:
au début j'avais une toolbar dans IE (nqgpedlr ou qq chose comme ca). J'avais toujours des barres jaunes en haut (style pop-up block) qui me disait que mon ordi était a risque. Quand j'étais sur IE au lieu d'ouvrir les pages que je voulais, ca ouvrait des pages d'erreur qui disaient que mon ordi était a risque.
Spybot a réussi à enlever cela... mais maintenant j'ai des fenetres popup qui ouvrent pour des jeux cons. Et mon ordi est vraiment plus lent
et quand je right click ou ya les toolbar dans IE ca inscrit encore nqgpedlr mais meme si je click dessus elle s'ouvre pâs
et des fois c'est comme si Windows crashait. Il ne reste plus rien que mon desktop image. Plus de taskbar, plus de programmes ouverts... j'suis obligé de peser s'ul piton reset

désolée du style d'écriture c'est directement copié-collé d'une discussion sur MSN...

Salut,

T'es infecté par Vundo. Je viendrais prendre de tes nouvelles demain, je vais dormir.

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisée à vos risques et avec aucune garantie..".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Bonjour
avant de passer à la désinfection manuelle
un scan en ligne est nécessaire
une restauretion aussi

Ben je viens juste de downlder HiJackthis... je n'ai plus trop confiance à downloader plein d'affaires la.

Suis-je obligé de downlaoder ton truc?

Autre symptome: quand je tappe sur le clavier, les lettres n'apparaissent pas toutes... ca lag un peu... c'est vraiment chiant!

Youssef je comprends pas :(

ComboFix va te virer tes fichiers infectés Vundo.

Le scan en ligne, on le fera à la fin.

Ca me semble louche... accepter un message qui dit que j'utilise a mes risques puis désactiver mon antivirus et mon spyware puis le runner... j'suis pas en confiance avec ca

Va falloir pourtant.

La preuve :
http://www.commentcamarche.net/forum/affich 7242803 virtumonde malware trace

Bonjour
si tu n'as pas supprimé le spoints de restauretion fais une restauration à une date antérieure avant toute manipulation
tu ne cours aucun danger
si ça corrige ok sinon tu peux revenir à ComboFix
ce qui est sur c'est que la trace d'un virus ou spyware est présente
destrio5 est connaisseur et s'il te dit Vundo c'est qu'il est sur de lui
mais fais ce que je te dis avant
je te conseille aussi de commencer à sauvegarder tes données sensibles hors la partition c sur D par exemple
bon courage

Pardon youssef mais je ne comprends pas ce que tume dis de faire...

Catherine ---> Si tu aurais lancé ComboFix, ton PC fonctionnerait déjà mieux.

Oui, faut simplement me laisser le temps de revenir du travail...

voici le log
ComboFix 08-07-05.1 - Administrator 2008-07-07 16:32:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.380 [GMT -4:00]
Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\ddcBUopM.dll
C:\WINDOWS\system32\djbetryo.ini
C:\WINDOWS\system32\igfxhk.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MpoUBcdd.ini
C:\WINDOWS\system32\MpoUBcdd.ini2
C:\WINDOWS\system32\MTuFOXbc.ini
C:\WINDOWS\system32\MTuFOXbc.ini2
C:\WINDOWS\system32\rpqwijkf.ini
C:\WINDOWS\system32\rrBHOqru.ini
C:\WINDOWS\system32\rrBHOqru.ini2
C:\WINDOWS\system32\upqhxbps.ini
C:\WINDOWS\system32\vrbclmot.ini
C:\WINDOWS\system32\wwFfNXyb.ini
C:\WINDOWS\system32\wwFfNXyb.ini2
C:\WINDOWS\system32\ymfuxkej.ini

.
((((((((((((((((((((((((( Files Created from 2008-06-07 to 2008-07-07 )))))))))))))))))))))))))))))))
.

2008-07-07 16:32 . 2008-07-07 16:40 294 ---hs---- C:\WINDOWS\system32\vrbclmot.ini
2008-07-07 07:52 . 2008-07-07 07:52 88,576 --a------ C:\WINDOWS\system32\tomlcbrv.dll
2008-07-06 21:40 . 2008-07-06 21:40 <DIR> d-------- C:\Program Files\Trend Micro
2008-07-06 20:59 . 2008-07-06 20:59 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-07-06 16:57 . 2008-07-06 20:29 521 --a------ C:\WINDOWS\wininit.ini
2008-07-06 16:33 . 2008-07-06 16:33 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-07-06 16:33 . 2008-07-06 17:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Program Files\Lavasoft
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-06 09:02 . 2008-07-06 09:10 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-06 07:36 . 2008-07-06 07:36 89,088 --a------ C:\WINDOWS\system32\fkjiwqpr.dll
2008-07-06 07:25 . 2008-07-07 15:45 <DIR> dr-h----- C:\$VAULT$.AVG
2008-07-06 07:25 . 2008-07-05 21:48 376,832 --a------ C:\WINDOWS\kgqfweltmrg.dll
2008-07-06 07:25 . 2008-07-05 21:48 307,200 --a------ C:\WINDOWS\axrfgvek.dll
2008-07-06 07:25 . 2008-07-05 21:48 155,648 --a------ C:\WINDOWS\mrvtdpqe.exe
2008-07-05 17:50 . 2008-07-05 17:50 <DIR> d-------- C:\WINDOWS\Sun
2008-07-05 17:49 . 2007-05-02 04:01 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-07-05 17:48 . 2008-07-05 17:49 <DIR> d-------- C:\Program Files\Java
2008-07-05 17:48 . 2008-07-05 17:48 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-04 09:49 . 2008-07-04 09:49 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\vlc
2008-07-04 09:47 . 2008-07-04 09:47 <DIR> d-------- C:\Program Files\VideoLAN
2008-06-22 00:03 . 2008-06-22 23:16 <DIR> d-------- C:\Program Files\mIRC
2008-06-22 00:03 . 2008-06-22 23:20 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\mIRC
2008-06-18 22:57 . 2008-06-13 09:10 272,128 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-18 22:57 . 2008-06-13 09:10 272,128 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-07 20:29 --------- d-----w C:\Documents and Settings\Administrator\Application Data\StumbleUpon
2008-07-07 19:43 --------- d-----w C:\Documents and Settings\Administrator\Application Data\AVG7
2008-07-05 14:36 --------- d-----w C:\Documents and Settings\Administrator\Application Data\U3
2008-06-07 17:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-06-06 15:50 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-06-06 04:17 --------- d-----w C:\Documents and Settings\Administrator\Application Data\Tinn-R
2008-05-30 02:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-05-22 14:29 --------- d-----w C:\Program Files\Google
2008-05-22 02:40 --------- d-----w C:\Program Files\Tinn-R
2008-05-22 00:57 --------- d-----w C:\Program Files\R
2008-05-20 13:31 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-05-20 13:31 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-20 13:25 --------- d-----w C:\Program Files\StumbleUpon
2008-05-17 14:12 --------- d-----w C:\Documents and Settings\Administrator\Application Data\Microsoft Web Folders
2008-05-13 15:00 --------- d-----w C:\Program Files\Windows Live
2008-05-13 14:59 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-05-13 14:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:18 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-21 07:43 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-05-15 19:35 579584]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-19 07:59 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-19 07:59 126976]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 04:15 75520]
"68c35b4a"="C:\WINDOWS\system32\tomlcbrv.dll" [2008-07-07 07:52 88576]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 03:59 122880 C:\WINDOWS\BCMSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 11:10 219136]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 04:15:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=


.
- - - - ORPHANS REMOVED - - - -

BHO-{3BA3028F-FD37-46BF-AD27-733734684F06} - C:\WINDOWS\system32\pmnopNgh.dll
BHO-{8D6D4033-A328-4239-8419-86A2D9C61E38} - C:\WINDOWS\system32\cbXOFuTM.dll
BHO-{B735F08B-CF66-4B55-BFC1-CA4740DA8A3B} - (no file)
BHO-{E2A7D840-E777-4356-9FDE-2A373AE4A887} - (no file)
BHO-{E2F00E32-C2C7-44AE-9E4B-E1BEA77D81DD} - C:\WINDOWS\system32\byXNfFww.dll
BHO-{E9D59F51-F2AA-42EC-867B-9AFF95DBB70E} - (no file)
BHO-{ECAC0231-7FE1-47BC-837D-FC75C34BE7F8} - C:\WINDOWS\system32\urqOHBrr.dll
Toolbar-{80123684-A222-4009-8220-A867294D6DE8} - C:\WINDOWS\nqgpedlr.dll
ShellExecuteHooks-{3BA3028F-FD37-46BF-AD27-733734684F06} - C:\WINDOWS\system32\pmnopNgh.dll
Notify-pmnopNgh - pmnopNgh.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-07 16:39:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fb2.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFA54F.tmp
C:\WINDOWS\system32\vrbclmot.ini 294 bytes

scan completed successfully
hidden files: 3

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Completion time: 2008-07-07 16:44:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-07 20:44:36

Pre-Run: 25,779,679,232 bytes free
Post-Run: 26,358,587,392 bytes free

150 --- E O F --- 2008-06-20 12:36:25


est-ce que je peux désinstaller ComboFix de mon ordi?
j'ai désinstallé SpyBot parce qu'il rendait mon ordi tellement lent... je garde Ad Aware est-ce correcT?

Désolée, je voulais ajouter... Merci... mais ça a envoyé le message
alors merci :)

Laisse ComboFix, on va en avoir besoin.

Le PC fonctionne mieux ?

---> Télécharge le fichier CFScript et enregistre-le sur ton bureau :
http://www.zshare.net/download/14881207896d2848/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît (Type 1 to continue, or 2 to abort), tape 1 puis valide.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le ici

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

Je peux rester brancher sur internet et garder mes antivirus ouvert?

Mieux vaut le faire sans antivirus, sans antispyware et sans Internet ;)

Destrio5, merci de m'Avoir aidé
j'ai malheureusement pas le temps de compléter les étapes comme je pars travailler loin de tout accès internet.
Je compléterai la dernière étape mentionnée à mon retour, je ne sais toutefois pas dans combien de temps ce sera (3 - 5 sem).
Merci de ta patience, je suis souvent loin demon ordi ces temps-ci.

À la prochaine!