Virus Vundo.gen et Monderb.AA [Résolu]

utilise KILLBOX pour les fichiers récalcitrants. C'est un freeware, cherche, je vais non plus y passer l'après -midi! :)

Mais dis-moi si ça a marché. Essaie en mode sans échec éventuellement, sinon tu peux aussi supprimer les processus, ou l eprocessus liés à ces dlls. Pour ça tu dois savoir à quoi renvoie ces dlls, c'est peut-être un peu compliqué.

Donc essaie killbox, il est robuste et fiable, tu me remercieras..

Ok, merci de ta réponse super rapide...
Je vais essayer dès que je rentre chez moi et je te tiens au courant.
A+.

slt,

ton windows n'est pas a jour , il faudrait mettre le sp2 par la suite
il faut aussi mettre a jour par la suite internet explorer avec la version 7, java et adobe reader
______________

scan ton ordi avec ceci et colle le rapport


virtumondebegone

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe­

_____________



télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

_____________________

remets un nouveu rapport hijackthis et explique tes soucis

eh bé. T'as pas plus simple ?ET qui te dit que son windows n'est pas à jour? Tu crois qu'on peut survivre comme ça aujourd'hui sur le net avec un win sans SP1, SP2 ou SP3?

on peux survivre sans le sp1 ... mais il fut avoir un parefeu efficace meme si il est plus que conseillé d'avoir windows a jour

pour virer vundo ces deux logiciels marches tres tres bien même si c'est un peu moins simple ...

Re-bonjour et encore merci à tous les deux.

-> Geek : j'ai fait la manip que tu m'as proposée (avec Killbox), mais ça ne marche pas, car il y a un process qui détruit la clé du registre permettant de détruire les dll lors du reboot.
Voilà le message d'erreur :
PendingFileRenameOperations Registry Data has been Removed by External Process!

->jlpjlp : oui, tu as raison pour les mises à jour. C'est un PC que j'ai récupéré il y a quelques mois de la part d'un collègue de club vidéo et qui lui servait de station de montage vidéo hors Internet. J'en ai fait un PC fourre-tout familial pour les accès à Internet et évidemment personne ne s'en occupe.

J'ai exécuté virtumondebegone. Voir rapport ci-dessous.
J'ai également exécuté Combofix, mais après suppression d'une bonne vingtaine de fichiers, il a rebooté, ce qui a eu pour effet de relancer le firewall et l'antivirus. A ce stade, je pense avoir un peu cafouillé, et finalement j'ai relancé une deuxième fois Combofix. C'est le 2ème rapport que tu trouveras ci-dessous.
Encore merci d'avance pour votre aide...

Rapport VirtuMondeBegone :


[07/23/2008, 14:37:15] - VirtumundoBeGone v1.5 ( "C:\Program Files\Outils lutte anti virus\VirtumundoBeGone.exe" )
[07/23/2008, 14:37:26] - Detected System Information:
[07/23/2008, 14:37:26] - Windows Version: 5.1.2600, Service Pack 1
[07/23/2008, 14:37:26] - Current Username: Edouard (Admin)
[07/23/2008, 14:37:26] - Windows is in NORMAL mode.
[07/23/2008, 14:37:26] - Searching for Browser Helper Objects:
[07/23/2008, 14:37:26] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/23/2008, 14:37:26] - BHO 2: {7af1651e-a733-4fb8-bf80-5976194690df} ()
[07/23/2008, 14:37:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/23/2008, 14:37:26] - No filename found. Continuing.
[07/23/2008, 14:37:26] - BHO 3: {85891CF5-118E-44AF-8682-A7B08D33A9E7} ()
[07/23/2008, 14:37:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/23/2008, 14:37:26] - Checking for HKLM\...\Winlogon\Notify\fccdeedA
[07/23/2008, 14:37:26] - Found: HKLM\...\Winlogon\Notify\fccdeedA - This is probably Virtumundo.
[07/23/2008, 14:37:26] - Assigning {85891CF5-118E-44AF-8682-A7B08D33A9E7} MSEvents Object
[07/23/2008, 14:37:26] - BHO list has been changed! Starting over...
[07/23/2008, 14:37:26] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/23/2008, 14:37:26] - BHO 2: {7af1651e-a733-4fb8-bf80-5976194690df} ()
[07/23/2008, 14:37:26] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/23/2008, 14:37:26] - No filename found. Continuing.
[07/23/2008, 14:37:26] - BHO 3: {85891CF5-118E-44AF-8682-A7B08D33A9E7} (MSEvents Object)
[07/23/2008, 14:37:26] - ALERT: Found MSEvents Object!
[07/23/2008, 14:37:27] - BHO 4: {8E580D91-DA3B-4DED-9508-C4AA67F3E128} ()
[07/23/2008, 14:37:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/23/2008, 14:37:27] - Checking for HKLM\...\Winlogon\Notify\wvUmLCUK
[07/23/2008, 14:37:27] - Key not found: HKLM\...\Winlogon\Notify\wvUmLCUK, continuing.
[07/23/2008, 14:37:27] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[07/23/2008, 14:37:27] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[07/23/2008, 14:37:27] - BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[07/23/2008, 14:37:27] - BHO 8: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[07/23/2008, 14:37:27] - Finished Searching Browser Helper Objects
[07/23/2008, 14:37:27] - *** Detected MSEvents Object
[07/23/2008, 14:37:27] - Trying to remove MSEvents Object...
[07/23/2008, 14:37:28] - Terminating Process: IEXPLORE.EXE
[07/23/2008, 14:37:28] - Terminating Process: RUNDLL32.EXE
[07/23/2008, 14:37:28] - Disabling Automatic Shell Restart
[07/23/2008, 14:37:28] - Terminating Process: EXPLORER.EXE
[07/23/2008, 14:37:28] - Suspending the NT Session Manager System Service
[07/23/2008, 14:37:28] - Terminating Windows NT Logon/Logoff Manager
[07/23/2008, 14:37:28] - Re-enabling Automatic Shell Restart
[07/23/2008, 14:37:28] - File to disable: C:\WINDOWS\system32\fccdeedA.dll
[07/23/2008, 14:37:29] - Renaming C:\WINDOWS\system32\fccdeedA.dll -> C:\WINDOWS\system32\fccdeedA.dll.vir
[07/23/2008, 14:37:29] - File successfully renamed!
[07/23/2008, 14:37:29] - Removing HKLM\...\Browser Helper Objects\{85891CF5-118E-44AF-8682-A7B08D33A9E7}
[07/23/2008, 14:37:29] - Removing HKCR\CLSID\{85891CF5-118E-44AF-8682-A7B08D33A9E7}
[07/23/2008, 14:37:29] - Adding Kill Bit for ActiveX for GUID: {85891CF5-118E-44AF-8682-A7B08D33A9E7}
[07/23/2008, 14:37:29] - Deleting ATLEvents/MSEvents Registry entries
[07/23/2008, 14:37:29] - Removing HKLM\...\Winlogon\Notify\fccdeedA
[07/23/2008, 14:37:29] - Searching for Browser Helper Objects:
[07/23/2008, 14:37:29] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[07/23/2008, 14:37:29] - BHO 2: {7af1651e-a733-4fb8-bf80-5976194690df} ()
[07/23/2008, 14:37:29] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/23/2008, 14:37:29] - No filename found. Continuing.
[07/23/2008, 14:37:29] - BHO 3: {8E580D91-DA3B-4DED-9508-C4AA67F3E128} ()
[07/23/2008, 14:37:29] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/23/2008, 14:37:29] - Checking for HKLM\...\Winlogon\Notify\wvUmLCUK
[07/23/2008, 14:37:29] - Key not found: HKLM\...\Winlogon\Notify\wvUmLCUK, continuing.
[07/23/2008, 14:37:29] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[07/23/2008, 14:37:29] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[07/23/2008, 14:37:29] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[07/23/2008, 14:37:29] - BHO 7: {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (Windows Live Toolbar Helper)
[07/23/2008, 14:37:29] - Finished Searching Browser Helper Objects
[07/23/2008, 14:37:29] - Finishing up...
[07/23/2008, 14:37:29] - A restart is needed.
[07/23/2008, 14:37:41] - Attempting to Restart via STOP error (Blue Screen!)



Rapport ComboFix :

ComboFix 08-07-22.4 - Edouard 2008-07-23 14:56:52.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.461 [GMT 2:00]
Endroit: C:\Documents and Settings\Edouard\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Program Files\webhancer
C:\Program Files\webhancer\Programs\SET5.tmp
C:\Program Files\webhancer\Programs\SET7.tmp
C:\Program Files\webhancer\Programs\wbhshare.dll
C:\Program Files\webhancer\Programs\whAgent.ini.old
C:\Program Files\webhancer\Programs\whieshm.dll
C:\Program Files\webhancer\whAgent_update.exe.old
C:\WINDOWS\BMcbde3325.txt
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\apuvraec.ini
C:\WINDOWS\system32\chuhmlfq.ini
C:\WINDOWS\system32\epwqdihp.dll
C:\WINDOWS\system32\euviafpm.dll
C:\WINDOWS\system32\KUCLmUvw.ini
C:\WINDOWS\system32\KUCLmUvw.ini2
C:\WINDOWS\system32\kvfumsbx.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\nhewkrri.ini
C:\WINDOWS\system32\onbgqkhp.ini
C:\WINDOWS\system32\polocgwj.ini
C:\WINDOWS\system32\qlropecn.ini
C:\WINDOWS\system32\rlahisce.dll
C:\WINDOWS\system32\tocoshfr.dll
C:\WINDOWS\system32\tuafitui.ini
C:\WINDOWS\system32\urlmsnlink.dat
C:\WINDOWS\system32\wvUmLCUK.dll
C:\WINDOWS\system32\xlhdhitd.dll
C:\WINDOWS\system32\xqxvgo.dll
C:\WINDOWS\system32\xrxfslne.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-23 to 2008-07-23 ))))))))))))))))))))))))))))))))))))
.

2008-07-23 12:56 . 2008-07-23 14:02 <REP> d-------- C:\!KillBox
2008-07-22 09:03 . 2008-07-22 09:03 <REP> d-------- C:\Program Files\Avira
2008-07-22 09:03 . 2008-07-22 09:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-07-22 08:57 . 2008-07-22 08:57 <REP> d-------- C:\Documents and Settings\Edouard\Application Data\Malwarebytes
2008-07-22 08:57 . 2008-07-22 09:19 414 ---hs---- C:\WINDOWS\system32\ynnwkkdt.ini
2008-07-22 08:56 . 2008-07-22 08:57 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-22 08:56 . 2008-07-22 08:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-22 08:56 . 2008-07-20 20:21 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-22 08:56 . 2008-07-20 20:21 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-19 20:07 . 2008-07-19 20:07 93,696 --a------ C:\WINDOWS\system32\unxudfwp.dll.old
2008-07-19 19:19 . 2008-07-19 19:19 <REP> d-------- C:\Program Files\CCleaner
2008-07-19 19:16 . 2008-07-23 14:36 <REP> d-------- C:\Program Files\Outils lutte anti virus
2008-07-19 19:07 . 2008-07-19 19:07 <REP> d-------- C:\VundoFix Backups
2008-07-19 19:06 . 2008-07-19 19:06 91,648 --a------ C:\WINDOWS\system32\imjehogg.dll.old
2008-07-13 20:21 . 2008-07-13 20:21 <REP> d--h----- C:\WINDOWS\PIF
2008-07-13 20:07 . 2008-07-13 20:07 <REP> d-------- C:\Program Files\Lavalys
2008-07-13 19:25 . 2008-07-13 19:25 <REP> d--hs---- C:\WINDOWS\ftpcache
2008-07-13 19:25 . 2008-07-13 19:25 <REP> d-------- C:\Program Files\Free
2008-07-13 15:45 . 2008-07-13 15:45 0 --a------ C:\WINDOWS\BMcbde3325.xml
2008-07-08 21:19 . 2008-07-13 14:24 110,419 --a------ C:\WINDOWS\BMcbde3325.xml.old
2008-07-08 21:19 . 2008-07-13 15:09 36,240 --a------ C:\WINDOWS\BMcbde3325.txt.old
2008-07-07 08:50 . 2008-07-22 21:17 <REP> d-------- C:\WINDOWS\system32\olixds18.old
2008-07-07 08:50 . 2008-07-07 08:50 <REP> d-------- C:\Temp\stmpv4
2008-07-07 08:50 . 2008-07-07 08:50 31,232 --a------ C:\WINDOWS\system32\fccdeedA.dll.vir

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-22 07:49 --------- d-----w C:\Program Files\DVDlabPro2
2008-07-22 07:03 31,232 ----a-w C:\WINDOWS\Internet Logs\xDB6E.tmp
2008-07-19 18:24 43,520 ----a-w C:\WINDOWS\Internet Logs\xDB6D.tmp
2008-07-19 17:52 24,064 ----a-w C:\WINDOWS\Internet Logs\xDB6C.tmp
2008-07-19 17:38 52,736 ----a-w C:\WINDOWS\Internet Logs\xDB6B.tmp
2008-07-14 10:27 24,064 ----a-w C:\WINDOWS\Internet Logs\xDB6A.tmp
2008-07-14 09:04 54,272 ----a-w C:\WINDOWS\Internet Logs\xDB69.tmp
2008-07-14 06:23 20,992 ----a-w C:\WINDOWS\Internet Logs\xDB68.tmp
2008-07-14 06:20 19,968 ----a-w C:\WINDOWS\Internet Logs\xDB67.tmp
2008-07-14 06:19 16,896 ----a-w C:\WINDOWS\Internet Logs\xDB66.tmp
2008-07-13 22:30 107,520 ----a-w C:\WINDOWS\Internet Logs\xDB65.tmp
2008-07-13 18:05 --------- d-----w C:\Program Files\Outils divers
2008-07-13 17:47 70,144 ----a-w C:\WINDOWS\Internet Logs\xDB64.tmp
2008-07-13 17:02 69,632 ----a-w C:\WINDOWS\Internet Logs\xDB63.tmp
2008-07-13 13:43 2,671,616 ----a-w C:\WINDOWS\Internet Logs\xDB62.tmp
2008-06-30 15:38 --------- d-----w C:\Documents and Settings\Edouard\Application Data\uTorrent
2008-06-29 23:23 2,773,504 ----a-w C:\WINDOWS\Internet Logs\xDB60.tmp
2008-06-29 23:23 1,632,256 ----a-w C:\WINDOWS\Internet Logs\xDB61.tmp
2008-06-20 06:44 --------- d-----w C:\Program Files\Java
2008-06-18 20:58 --------- d-----w C:\Documents and Settings\Edouard\Application Data\LogoMaker
2008-06-18 20:44 --------- d-----w C:\Program Files\Studio V5
2008-06-17 06:56 32,256 ----a-w C:\WINDOWS\Internet Logs\xDB5E.tmp
2008-06-17 06:56 1,611,264 ----a-w C:\WINDOWS\Internet Logs\xDB5F.tmp
2008-06-17 06:39 30,720 ----a-w C:\WINDOWS\Internet Logs\xDB5C.tmp
2008-06-17 06:39 1,611,264 ----a-w C:\WINDOWS\Internet Logs\xDB5D.tmp
2008-06-17 06:29 9,216 ----a-w C:\WINDOWS\Internet Logs\xDB5B.tmp
2008-06-17 06:28 626,688 ----a-w C:\WINDOWS\Internet Logs\xDB59.tmp
2008-06-17 06:28 1,611,264 ----a-w C:\WINDOWS\Internet Logs\xDB5A.tmp
2008-06-14 11:03 198,144 ----a-w C:\WINDOWS\Internet Logs\xDB58.tmp
2008-06-13 18:40 2,591,428 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-06-12 22:13 34,816 ----a-w C:\WINDOWS\Internet Logs\xDB57.tmp
2008-06-12 21:56 25,088 ----a-w C:\WINDOWS\Internet Logs\xDB56.tmp
2008-06-12 21:52 48,128 ----a-w C:\WINDOWS\Internet Logs\xDB55.tmp
2008-06-12 21:23 530,432 ----a-w C:\WINDOWS\Internet Logs\xDB54.tmp
2008-06-08 08:44 28,160 ----a-w C:\WINDOWS\Internet Logs\xDB52.tmp
2008-06-08 08:44 1,595,392 ----a-w C:\WINDOWS\Internet Logs\xDB53.tmp
2008-06-08 08:38 19,456 ----a-w C:\WINDOWS\Internet Logs\xDB51.tmp
2008-06-08 08:37 1,167,872 ----a-w C:\WINDOWS\Internet Logs\xDB50.tmp
2008-06-05 18:03 --------- d-----w C:\Documents and Settings\Edouard\Application Data\Skype
2008-06-05 14:22 --------- d-----w C:\Documents and Settings\Edouard\Application Data\skypePM
2008-05-31 08:56 31,744 ----a-w C:\WINDOWS\Internet Logs\xDB4F.tmp
2008-05-31 08:52 216,576 ----a-w C:\WINDOWS\Internet Logs\xDB4D.tmp
2008-05-31 08:52 1,581,056 ----a-w C:\WINDOWS\Internet Logs\xDB4E.tmp
2008-05-28 20:59 34,816 ----a-w C:\WINDOWS\Internet Logs\xDB4C.tmp
2008-05-28 20:52 25,600 ----a-w C:\WINDOWS\Internet Logs\xDB4A.tmp
2008-05-28 20:52 1,565,696 ----a-w C:\WINDOWS\Internet Logs\xDB4B.tmp
2008-05-28 20:50 23,552 ----a-w C:\WINDOWS\Internet Logs\xDB48.tmp
2008-05-28 20:50 1,565,696 ----a-w C:\WINDOWS\Internet Logs\xDB49.tmp
2008-05-28 20:47 54,272 ----a-w C:\WINDOWS\Internet Logs\xDB47.tmp
2008-05-28 18:23 2,707,456 ----a-w C:\WINDOWS\Internet Logs\xDB46.tmp
2008-05-08 15:18 1,544,704 ----a-w C:\WINDOWS\Internet Logs\xDB45.tmp
2008-05-08 15:18 1,274,368 ----a-w C:\WINDOWS\Internet Logs\xDB44.tmp
2008-05-05 07:23 244,224 ----a-w C:\WINDOWS\Internet Logs\xDB43.tmp
2008-05-04 10:14 338,432 ----a-w C:\WINDOWS\Internet Logs\xDB42.tmp
2008-05-03 23:05 2,865,664 ----a-w C:\WINDOWS\Internet Logs\xDB41.tmp
2008-04-28 21:36 28,160 ----a-w C:\WINDOWS\Internet Logs\xDB40.tmp
2008-04-28 21:32 573,952 ----a-w C:\WINDOWS\Internet Logs\xDB3F.tmp
2008-04-25 21:58 23,040 ----a-w C:\WINDOWS\Internet Logs\xDB3D.tmp
2008-04-25 21:58 1,528,320 ----a-w C:\WINDOWS\Internet Logs\xDB3E.tmp
2008-04-25 21:57 43,008 ----a-w C:\WINDOWS\Internet Logs\xDB3B.tmp
2008-04-25 21:57 1,527,808 ----a-w C:\WINDOWS\Internet Logs\xDB3C.tmp
2008-04-25 21:31 50,688 ----a-w C:\WINDOWS\Internet Logs\xDB3A.tmp
2008-04-25 21:17 382,976 ----a-w C:\WINDOWS\Internet Logs\xDB39.tmp
2008-03-23 13:59 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-10-03 22:50 20,512 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-03 22:50 2,080 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 14:00 13312]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-25 21:20 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-29 22:10 335872]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"MULTIMEDIA KEYBOARD"="C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-07-12 01:22 176128]
"StorageGuard"="C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 00:01 155648]
"MaxtorOneTouch"="C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe" [2003-05-21 15:30 45056]
"MXO Auto Loader"="C:\WINDOWS\MXOALDR.EXE" [2003-04-07 18:09 118784]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-08-27 22:38 98304]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 11:09 63712]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"BluetoothAuthenticationAgent"="irprops.cpl" [2002-09-24 14:27 111616 C:\WINDOWS\system32\irprops.cpl]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 08:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2003-05-23 10:43 88363 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 14:00 13312]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-03-09 22:11:19 110592]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= pclepim1.dll
"VIDC.DVSD"= RALCodec.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R1 hlp;FAST HLP Driver;C:\WINDOWS\System32\Drivers\Hlp.Sys [2002-04-17 19:51]
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\System32\DRIVERS\msikbd2k.sys [2001-12-20 10:02]
R2 nhksrv;Netropa NHK Server;C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe [2001-08-06 07:41]
R3 st3bus28;st3bus28;C:\WINDOWS\System32\DRIVERS\st3bus28.sys [2002-12-28 12:16]
R3 st3mp28;st3mp28;C:\WINDOWS\System32\DRIVERS\st3mp28.sys [2002-12-28 12:16]
S1 pin1394;Pinnacle Systems 1394;C:\WINDOWS\System32\drivers\pin1394.sys []
S2 Seagate Communication;Seagate Communication;C:\WINDOWS\System32\dllcache\seagatecom.exe []
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\System32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-07-23 12:33:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.unika.com/
R1 -: HKCU-Internet Settings,ProxyOverride = <local>
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: &Windows Live Search - C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 -: Ouvrir dans un nouvel onglet d'arrière-plan - C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?4ca18ba06d514e048785115c1291e4eb
O8 -: Ouvrir dans un nouvel onglet de premier plan - C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?4ca18ba06d514e048785115c1291e4eb
O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-23 14:59:14
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-23 15:02:07
ComboFix-quarantined-files.txt 2008-07-23 13:01:06

Pre-Run: 14,011,060,224 octets libres
Post-Run: 13,998,989,312 octets libres

218

analyse ces fihciers sur virus total et si inféctés tu les mets dans la citation OTMOVIT:
http://www.virustotal.com/fr/

C:\WINDOWS\system32\ynnwkkdt.ini
C:\WINDOWS\system32\fccdeedA.dll.vir


___________________




télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur http://up.sur-la-toile.com/sadW
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.


____________________

recolle un nouvel hijackhtis et dis tes soucis

Hum... j'ai probablement voulu aller plus vite que la musique :
j'ai détruit ces 2 fichiers lors du reboot au moment où l'antivirus me les a signalés !
Ils n'existent donc plus.
Dois-je faire quelque chose ?

recolle un nouvel hijackhtis et dis tes soucis

Ok, j'ai mis à jour les signatures de l'antivirus, puis j'ai rebooté et lancé un scan complet par l'antivirus. C'est en cours...
Dès que c'est terminé, je t'envoie un rapport HiJackThis...

mets hijackthis dès maintenant svp car peu dispo ce soir...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:47:03, on 23/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
C:\WINDOWS\MXOALDR.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Documents and Settings\Edouard\Bureau\EssaiHi-Jack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.unika.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?4ca18ba06d514e048785115c1291e4eb
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?4ca18ba06d514e048785115c1291e4eb
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .goa: C:\Program Files\Internet Explorer\Plugins\nppmp.dll
O12 - Plugin for .goac: C:\Program Files\Internet Explorer\Plugins\npchatg.dll
O12 - Plugin for .gob: C:\Program Files\Internet Explorer\Plugins\nppmp2.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\System32\dllcache\seagatecom.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ok parfait hijackthis est clean sauf qu'il faut mettre java a jour ici

http://www.malekal.com/update_JAVA_Flash.php

________________
ensuite mettre a jour windows avec le sp2 si legal
en allant dans demarrer puis TOUS LES PROGRAMMES puis WINDOWS UPDATE et mettre a plusieurs reprise les mises a jour prioritaires

________________

installe spywareblaster pour etre immunisé contre vundo natamment ( il suffit de mettre a jour tous les mois et d'immuniser ton systeme)


http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/28872.html


voilà

sinon on verra si antivir trouve des infections



a plus

Ok, merci infiniment jlpjlp pour tes conseils...
Je vais encore faire les mises à jour indiquées.

Juste une petite question, peut-être indiscrète : êtes-vous tous ici bénévoles ? passez-vous vos journées entières à aider les autres ? même quand il fait aussi beau qu'aujourd'hui ? En tout cas, chapeau !

A+,
Klim.

oui je suis bénévole
et oui il fait beau mais j'aimes ça .. je sors quand même!












sinon



pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
http://www.malekal.com/tutorial_antivir.php (merci Malekal)
-------------
des anti-espions :
MALWAREBYTE'S antimalware + SPYBOT
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

http://www.clubic.com/telecharger-fiche11071-sunbelt-persona­l-firewall-ex-kerio.html
http://manuelsdaide.com/Internet/Jetico/firewall.htm
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------

CCLEANER pour effacer les traces de surf

________

naviguer avec firefox ou opera ou safari moins touchés par les infections

Merci pour les conseils.
J'avais ZoneAlarm et AntiVir. Grâce à toi, j'ai désormais installé CCleaner, MalwareByte's et SpyWareBlaster.
Je pense que cela devrait aller maintenant.

Je clos la discussion en n'oubliant pas de te remercier une nouvelle fois.
Bon courage pour aider les autres,
Klim.

parfait!

pour virer ce que l'on a utilisé:

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ps : pas besoin de m´envoyer le rapport si tout a ete supprimer ;-)





bonne continuation!!!

slt virus bravo pour ta reusite