Sujet Précédent Sujet Suivant

Infection adware LOP

Fermé
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010 - 24 oct. 2008 à 19:45
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 25 oct. 2008 à 15:39
Bonjour,

Je suis infecté par l adware LOP via les pubs CID.

j'ai testé pas mal de choses vues dans les forums telles que désinstallation de msn plus et limewire, mais rien n'y fait

voilà donc le rapport d'intervention LOP S&D, et en fin de mail l'analyse de norton quant à lop, svp venez en aide à un désespéré!!



--------------------\\ Lop S&D 4.2.4-6 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3200+ )
BIOS : BIOS Date: 01/23/06 18:27:22 Ver: 08.00.12
USER : Ben ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total : 29 Go Free : 19 Go
D:\ (Local Disk) - NTFS - Total : 111 Go Free : 97 Go
E:\ (CD or DVD) - UDF - Total : 6 Go Free : 0 Go

"C:\Lop SD" ( MAJ : 20-10-2008|20:35 )
Option : [1] ( 24/10/2008|19:30 )

--------------------\\ Listing des dossiers dans APPLIC~1

[06/06/2008|21:47] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[05/06/2006|23:07] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe Systems
[16/06/2006|00:59] D:\DOCUME~1\ALLUSE~1\APPLIC~1\AOL
[29/05/2008|19:18] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[29/05/2008|19:21] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[02/01/2007|23:49] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Creative
[23/05/2006|14:43] D:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[05/10/2008|14:12] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[24/10/2008|07:47] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
[05/06/2006|22:49] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Macromedia
[29/05/2008|19:23] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[23/05/2006|14:32] D:\DOCUME~1\ALLUSE~1\APPLIC~1\OD2
[15/06/2006|23:08] D:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
[23/05/2006|23:10] D:\DOCUME~1\ALLUSE~1\APPLIC~1\SBSI
[16/10/2008|01:13] D:\DOCUME~1\ALLUSE~1\APPLIC~1\SoftLand Ltd
[20/10/2008|22:55] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[22/10/2008|09:39] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Spyware Terminator
[31/01/2007|23:05] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
[19/08/2008|12:23] D:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[23/05/2006|14:42] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Ulead Systems
[23/05/2006|14:34] D:\DOCUME~1\ALLUSE~1\APPLIC~1\VadeRetro
[05/10/2008|19:22] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[29/05/2008|19:30] D:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar
[29/05/2008|18:57] D:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller

[01/06/2008|20:34] D:\DOCUME~1\Ben\APPLIC~1\Adobe
[19/06/2007|21:47] D:\DOCUME~1\Ben\APPLIC~1\AdobeUM
[16/10/2008|01:13] D:\DOCUME~1\Ben\APPLIC~1\AdwareBot
[01/06/2008|12:48] D:\DOCUME~1\Ben\APPLIC~1\Apple Computer
[18/07/2007|09:00] D:\DOCUME~1\Ben\APPLIC~1\Creative
[01/10/2006|21:54] D:\DOCUME~1\Ben\APPLIC~1\CyberLink
[21/09/2008|23:36] D:\DOCUME~1\Ben\APPLIC~1\DivX
[21/10/2008|00:59] D:\DOCUME~1\Ben\APPLIC~1\dvdcss
[31/05/2008|23:05] D:\DOCUME~1\Ben\APPLIC~1\EoRezo
[18/10/2008|14:28] D:\DOCUME~1\Ben\APPLIC~1\FileZilla
[02/06/2008|19:31] D:\DOCUME~1\Ben\APPLIC~1\Google
[16/06/2006|01:04] D:\DOCUME~1\Ben\APPLIC~1\Help
[23/05/2006|23:10] D:\DOCUME~1\Ben\APPLIC~1\Identities
[31/05/2008|22:59] D:\DOCUME~1\Ben\APPLIC~1\ItsLabel
[17/08/2008|22:19] D:\DOCUME~1\Ben\APPLIC~1\JLC's Software
[11/10/2008|18:33] D:\DOCUME~1\Ben\APPLIC~1\LimeWire
[01/01/2007|20:04] D:\DOCUME~1\Ben\APPLIC~1\Macromedia
[08/09/2008|13:29] D:\DOCUME~1\Ben\APPLIC~1\Microsoft
[22/08/2008|15:17] D:\DOCUME~1\Ben\APPLIC~1\Move Networks
[30/05/2008|07:40] D:\DOCUME~1\Ben\APPLIC~1\Mozilla
[03/06/2006|21:08] D:\DOCUME~1\Ben\APPLIC~1\OD2
[24/10/2008|01:14] D:\DOCUME~1\Ben\APPLIC~1\OpenOffice.org2
[19/08/2008|13:21] D:\DOCUME~1\Ben\APPLIC~1\PC Tools
[15/06/2006|22:19] D:\DOCUME~1\Ben\APPLIC~1\Real
[13/10/2008|23:56] D:\DOCUME~1\Ben\APPLIC~1\Spyware Terminator
[31/07/2007|19:55] D:\DOCUME~1\Ben\APPLIC~1\Sun
[03/06/2006|14:23] D:\DOCUME~1\Ben\APPLIC~1\Symantec
[30/05/2008|07:40] D:\DOCUME~1\Ben\APPLIC~1\Talkback
[23/05/2007|18:17] D:\DOCUME~1\Ben\APPLIC~1\Ulead Systems
[31/05/2008|21:20] D:\DOCUME~1\Ben\APPLIC~1\VadeRetro
[08/09/2008|12:43] D:\DOCUME~1\Ben\APPLIC~1\vlc
[23/05/2006|14:33] D:\DOCUME~1\Ben\APPLIC~1\You've Got Pictures Screensaver

[28/05/2008|18:23] D:\DOCUME~1\BEN~1.SN1\APPLIC~1\Macromedia
[28/05/2008|18:28] D:\DOCUME~1\BEN~1.SN1\APPLIC~1\Microsoft
[28/05/2008|18:28] D:\DOCUME~1\BEN~1.SN1\APPLIC~1\Real

[23/05/2006|14:39] D:\DOCUME~1\BENSN1~1.000\APPLIC~1\Macromedia
[19/08/2008|13:21] D:\DOCUME~1\BENSN1~1.000\APPLIC~1\Microsoft
[19/08/2008|13:21] D:\DOCUME~1\BENSN1~1.000\APPLIC~1\Real
[19/08/2008|13:21] D:\DOCUME~1\BENSN1~1.000\APPLIC~1\Spyware Terminator

[23/05/2006|23:10] D:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[23/05/2006|14:39] D:\DOCUME~1\DEFAUL~1\APPLIC~1\Macromedia
[23/05/2006|14:51] D:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[23/05/2006|14:39] D:\DOCUME~1\DEFAUL~1\APPLIC~1\Real
[23/05/2006|14:35] D:\DOCUME~1\DEFAUL~1\APPLIC~1\Symantec
[23/05/2006|14:33] D:\DOCUME~1\DEFAUL~1\APPLIC~1\You've Got Pictures Screensaver

[05/10/2008|19:23] D:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[17/05/2008|00:00] D:\DOCUME~1\LOCALS~1.AUT\APPLIC~1\Microsoft

[17/05/2008|00:00] D:\DOCUME~1\LOCALS~1.000\APPLIC~1\Microsoft

[28/05/2008|18:28] D:\DOCUME~1\LOCALS~1.001\APPLIC~1\Microsoft

[19/08/2008|13:21] D:\DOCUME~1\LOCALS~1.002\APPLIC~1\Microsoft

[27/05/2008|19:21] D:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

[17/05/2008|00:00] D:\DOCUME~1\NETWOR~1.AUT\APPLIC~1\Microsoft

[17/05/2008|00:00] D:\DOCUME~1\NETWOR~1.000\APPLIC~1\Microsoft

[28/05/2008|18:28] D:\DOCUME~1\NETWOR~1.001\APPLIC~1\Microsoft

[19/08/2008|13:21] D:\DOCUME~1\NETWOR~1.002\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[24/10/2008 15:00][--a------] C:\WINDOWS\tasks\Norton Security Scan.job
[16/10/2008 11:27][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[24/10/2008 19:30][--a------] C:\WINDOWS\tasks\Configurer mon PC.job
[24/10/2008 18:33][--a------] C:\WINDOWS\tasks\V‚rifier les mises … jour de Windows Live Toolbar.job
[24/10/2008 19:30][--a------] C:\WINDOWS\tasks\Extension de garantie.job
[24/10/2008 19:30][--a------] C:\WINDOWS\tasks\Master CD_DVD Creator.job
[24/10/2008 01:16][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[04/10/2008|18:26] C:\Program Files\Adobe
[23/05/2006|14:20] C:\Program Files\AMD
[16/06/2006|01:04] C:\Program Files\AOL 9.0
[23/05/2006|14:33] C:\Program Files\AOL Compagnon
[29/05/2008|19:19] C:\Program Files\Apple Software Update
[08/10/2008|21:22] C:\Program Files\Aptana
[05/10/2008|14:11] C:\Program Files\Audible
[23/05/2006|14:20] C:\Program Files\AvRack
[05/10/2008|14:11] C:\Program Files\CDex_150
[16/08/2004|18:05] C:\Program Files\ComPlus Applications
[05/10/2008|14:08] C:\Program Files\Crawler
[06/10/2008|20:12] C:\Program Files\Creative
[02/01/2007|23:53] C:\Program Files\Creative Installation Information
[23/05/2006|14:43] C:\Program Files\CyberLink
[21/09/2008|23:35] C:\Program Files\DivX
[06/10/2008|20:12] C:\Program Files\Fichiers communs
[17/09/2008|15:14] C:\Program Files\FileZilla FTP Client
[30/05/2008|17:28] C:\Program Files\gimp_2_2_12_xp_2000
[23/05/2006|14:37] C:\Program Files\GMixon
[24/10/2008|18:41] C:\Program Files\Google
[23/05/2006|14:34] C:\Program Files\Goto Software
[06/06/2008|20:18] C:\Program Files\iMesh Applications
[06/10/2008|20:12] C:\Program Files\InstallShield Installation Information
[16/08/2008|00:23] C:\Program Files\Internet Explorer
[29/05/2008|19:22] C:\Program Files\iPod
[29/05/2008|19:22] C:\Program Files\iTunes
[08/10/2008|22:03] C:\Program Files\Java
[05/06/2006|22:40] C:\Program Files\Jeux de cartes
[17/08/2008|22:10] C:\Program Files\JLC's Software
[08/09/2008|13:19] C:\Program Files\Kit ADSL
[02/08/2006|21:11] C:\Program Files\K-Lite Codec Pack
[23/05/2006|14:33] C:\Program Files\Learn2.com
[19/08/2008|21:19] C:\Program Files\Macromedia
[14/08/2008|01:26] C:\Program Files\Messenger
[19/08/2008|21:14] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[16/08/2004|18:11] C:\Program Files\microsoft frontpage
[17/07/2007|00:26] C:\Program Files\Microsoft Office
[27/05/2008|19:03] C:\Program Files\Microsoft SQL Server Compact Edition
[08/09/2008|13:20] C:\Program Files\modem ADSL USB
[16/08/2004|18:06] C:\Program Files\Movie Maker
[24/10/2008|01:29] C:\Program Files\Mozilla Firefox
[16/08/2004|18:03] C:\Program Files\MSN
[16/08/2004|18:03] C:\Program Files\MSN Gaming Zone
[29/05/2008|19:23] C:\Program Files\MSN Messenger
[29/05/2008|18:45] C:\Program Files\MSXML 4.0
[24/10/2008|01:17] C:\Program Files\Navilog1
[16/08/2004|18:06] C:\Program Files\NetMeeting
[11/03/2008|21:02] C:\Program Files\Neuf
[23/05/2006|14:34] C:\Program Files\Norman
[24/10/2008|15:00] C:\Program Files\Norton Security Scan
[08/10/2008|22:03] C:\Program Files\OpenOffice.org 2.4
[29/05/2008|18:56] C:\Program Files\Outlook Express
[20/08/2008|00:00] C:\Program Files\PCFriendly
[29/05/2008|19:21] C:\Program Files\QuickTime
[23/05/2006|14:32] C:\Program Files\Real
[23/05/2006|14:20] C:\Program Files\Realtek AC97
[23/05/2006|14:20] C:\Program Files\Realtek Sound Manager
[16/08/2004|18:07] C:\Program Files\Services en ligne
[23/05/2006|14:38] C:\Program Files\ShowTime
[23/05/2006|14:43] C:\Program Files\Sonic
[20/10/2008|22:55] C:\Program Files\Spybot - Search & Destroy
[14/10/2008|00:32] C:\Program Files\Spyware Terminator
[23/05/2006|14:42] C:\Program Files\Ulead Systems
[16/08/2004|18:19] C:\Program Files\Uninstall Information
[06/05/2008|09:19] C:\Program Files\VideoLAN
[17/08/2008|20:07] C:\Program Files\WebTV
[23/10/2008|23:44] C:\Program Files\WinClamAVShield
[31/05/2008|22:38] C:\Program Files\Windows Live
[05/10/2008|14:15] C:\Program Files\Windows Live Toolbar
[23/05/2006|14:41] C:\Program Files\Windows Media Components
[04/10/2008|22:03] C:\Program Files\Windows Media Connect 2
[04/10/2008|22:03] C:\Program Files\Windows Media Player
[06/06/2008|21:14] C:\Program Files\Windows NT
[16/08/2004|18:07] C:\Program Files\WindowsUpdate
[02/08/2008|17:01] C:\Program Files\WinRAR
[16/08/2004|18:11] C:\Program Files\xerox
[16/06/2006|21:22] C:\Program Files\XviD
[05/10/2008|14:15] C:\Program Files\Yahoo!
[04/10/2008|13:51] C:\Program Files\YesMessenger
[08/10/2008|21:21] C:\Program Files\Zero G Registry

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[06/06/2008|21:47] C:\Program Files\Fichiers communs\Adobe
[05/06/2006|23:07] C:\Program Files\Fichiers communs\Adobe Systems Shared
[23/05/2006|14:33] C:\Program Files\Fichiers communs\AOL
[23/05/2006|14:33] C:\Program Files\Fichiers communs\aolshare
[29/05/2008|19:18] C:\Program Files\Fichiers communs\Apple
[05/06/2006|22:42] C:\Program Files\Fichiers communs\InstallShield
[23/05/2006|14:27] C:\Program Files\Fichiers communs\Java
[19/08/2008|21:19] C:\Program Files\Fichiers communs\Macromedia
[31/05/2008|23:05] C:\Program Files\Fichiers communs\Microsoft Shared
[16/08/2004|18:06] C:\Program Files\Fichiers communs\MSSoap
[23/05/2006|14:32] C:\Program Files\Fichiers communs\Nullsoft
[16/08/2004|17:57] C:\Program Files\Fichiers communs\ODBC
[23/05/2006|14:38] C:\Program Files\Fichiers communs\Real
[16/06/2006|01:12] C:\Program Files\Fichiers communs\Services
[23/05/2006|14:43] C:\Program Files\Fichiers communs\Sonic Shared
[16/08/2004|17:56] C:\Program Files\Fichiers communs\SpeechEngines
[23/05/2006|14:39] C:\Program Files\Fichiers communs\SureThing Shared
[24/10/2008|15:02] C:\Program Files\Fichiers communs\Symantec Shared
[29/05/2008|18:56] C:\Program Files\Fichiers communs\System
[23/05/2006|14:41] C:\Program Files\Fichiers communs\Ulead Systems
[29/05/2008|18:50] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[23/05/2006|14:38] C:\Program Files\Fichiers communs\xing shared

--------------------\\ Process

( 43 Processes )

iexplore.exe ~ [PID:2796]

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

D:\DOCUME~1\Ben\LOCALS~1\Temp\nscCE2.tmp
D:\DOCUME~1\Ben\Cookies\ben@advertising[2].txt
D:\DOCUME~1\Ben\Cookies\ben@adin.bigpoint[2].txt
D:\DOCUME~1\Ben\Cookies\ben@bigpoint[1].txt
D:\DOCUME~1\Ben\Cookies\ben@fr.seafight.bigpoint[2].txt
D:\DOCUME~1\Ben\Cookies\ben@fr.thepimps.bigpoint[2].txt
D:\DOCUME~1\Ben\Cookies\ben@fr1.darkorbit.bigpoint[1].txt
D:\DOCUME~1\Ben\Cookies\ben@banner.cotedazurpalace[2].txt
D:\DOCUME~1\Ben\Cookies\ben@cotedazurpalace[2].txt
D:\DOCUME~1\Ben\Cookies\ben@www.cotedazurpalace[1].txt
D:\DOCUME~1\Ben\Cookies\ben@fr.seafight.bigpoint[2].txt

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 19:38:57
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
C:\WINDOWS\System32\drivers\hkxqdslr.sys 25600 bytes executable
C:\WINDOWS\System32\urqnnLde.dll 328704 bytes executable
folder error: D:\DOCUME~1\Ben\LOCALS~1\APPLIC~1

--------------------\\ Recherche d'autres infections

C:\WINDOWS\system32\edLnnqru.ini
C:\WINDOWS\system32\edLnnqru.ini2
[b]==> VUNDO <==/b

--------------------\\ ROGUES ..

D:\DOCUME~1\ALLUSE~1\APPLIC~1\SoftLand Ltd*
D:\DOCUME~1\ALLUSE~1\APPLIC~1\SoftLand Ltd

--------------------\\ Cracks & Keygens ..

D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\05UN4XY7\keyGen[1].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\D01P3DTB\keyGen[1].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\D01P3DTB\keyGen[2].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\D01P3DTB\keyGen[3].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\E7CVD67U\keyGen[1].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\E7CVD67U\keyGen[2].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\E7CVD67U\keyGen[3].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\E7CVD67U\keyGen[4].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\E7CVD67U\keyGen[5].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\G5QRO1EV\keyGen[1].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\G5QRO1EV\keyGen[2].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\G5QRO1EV\keyGen[3].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\G5QRO1EV\keyGen[4].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[1].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[2].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[3].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[4].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[5].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\WHUNG1IR\keyGen[1].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\WHUNG1IR\keyGen[2].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\WHUNG1IR\keyGen[3].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\YQIXPHW6\keyGen[1].htm
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\YQIXPHW6\keyGen[2].htm
D:\DOCUME~1\Ben\Mes documents\boulot\Favoris\Crack in France par Pifoman.url


[F:76][D:5]-> D:\DOCUME~1\Ben\LOCALS~1\Temp
[F:163][D:0]-> D:\DOCUME~1\Ben\Cookies
[F:5742][D:8]-> D:\DOCUME~1\Ben\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 22/10/2008|23:43 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 23/10/2008| 0:02 - Option : [2]
3 - "C:\Lop SD\LopR_3.txt" - 24/10/2008| 0:00 - Option : [3]
4 - "C:\Lop SD\LopR_4.txt" - 24/10/2008|19:42 - Option : [1]

--------------------\\ Fin du rapport a 19:42:21






ANALYSE NORTON sur LOP
Infection :
c:\lop sd\backup-lop\docume~1\ben\applic~1\rectse~1\cvnedeqx.exe
Base de registres :
HKEY_USERS\S-1-5-21-2787409279-860696490-2509712036-1006\Software\Microsoft\Internet Explorer\Main->AutoSearch
HKEY_USERS\S-1-5-21-2787409279-860696490-2509712036-1006\Software\Microsoft\Internet Explorer\Main->Use Custom Search URL
HKEY_USERS\S-1-5-21-2787409279-860696490-2509712036-1006\Software\Microsoft\Internet Explorer\Main->Use Search Asst
HKEY_USERS\S-1-5-21-2787409279-860696490-2509712036-1006\SOFTWARE\Microsoft\Internet Explorer\Main->Search Bar:http://www.bing.com/spresults.aspx
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main->Search Bar:http://www.bing.com/spresults.aspx
HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main->Search Bar:http://www.bing.com/spresults.aspx
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main->Search Bar:http://www.bing.com/spresults.aspx
HKEY_USERS\S-1-5-21-2787409279-860696490-2509712036-1006\SOFTWARE\Microsoft\Internet Explorer\Main->Start Page:https://www.broadcom.com/support/security-center
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main->Start Page:https://www.broadcom.com/support/security-center
HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main->Start Page:https://www.broadcom.com/support/security-center
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main->Start Page:https://www.broadcom.com/support/security-center
HKEY_USERS\S-1-5-21-2787409279-860696490-2509712036-1006\Software\Microsoft\Internet Explorer\Main->Search Page:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main->Search Page:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main->Search Page:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main->Search Page:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKEY_LOCAL_MACHINE
Système :
A voir également:

43 réponses

Réponse 1 / 43
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 oct. 2008 à 01:18
Salut à tous ,


Infection Vundo bien visible ... + un rogue apparemment ( rapport Lop )


Dans l'ordre :


1- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous, 


:Processes
explorer.exe

:Services

:Reg

:Files
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\05UN4XY7\keyGen[1].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\G5QRO1EV\keyGen[1].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\G5QRO1EV\keyGen[2].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\G5QRO1EV\keyGen[3].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\G5QRO1EV\keyGen[4].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[1].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[2].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[3].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[4].htm 
D:\DOCUME~1\Ben\Local Settings\Temporary Internet Files\Content.IE5\K9EBGTQZ\keyGen[5].htm 
D:\DOCUME~1\Ben\Mes documents\boulot\Favoris\Crack in France par Pifoman.url 

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]



et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

Une fois ce rapport posté , enchaines avec ceci :


2- Télécharges VirtumundoBegone sur ton bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

!! Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

Postes le rapport VBG accompagné d'un nouveau rapport Hijackthis pour analyse ...
1
Réponse 2 / 43
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
25 oct. 2008 à 08:30
Salut,


avant de continuer ta désinfection,
tu dois impérativement mettre un Antivirus

télécharge Antivir(gratuit)

Tu trouveras un tutorial Antivir depuis ce lien : https://www.malekal.com/avira-free-security-antivirus-gratuit/

- Après l'installation, mets le à jour - si ton firewall(parefeu) fait une alerte.. accepte la connexion.
- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.

-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8(F5 sur certain PC), un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Clique sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici.

n'oublie pas MBAM(si tu l'as déja fais,poste le rapport stp)

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/
( cela dis, il est très simple d'utilisation ).

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ) et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" .
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

poste un nouveau rapport HJT avec
1
Réponse 3 / 43
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 11:39
ouais t as raison ct pas le bon rapport malware, le vlà et je continue avec le reste .....


Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1316
Windows 5.1.2600 Service Pack 2

25/10/2008 11:09:04
mbam-log-2008-10-25 (11-09-04).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 136657
Temps écoulé: 2 hour(s), 49 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 62

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\zcpoaf.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\wemkjp.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\jqobte.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8818ea6f-e355-44b5-9e69-599d5ebec261} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8818ea6f-e355-44b5-9e69-599d5ebec261} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{34e77bb3-ff02-44bb-8ed7-7f71d1ddbd7b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b38a8a81-07d7-4860-b6f5-f316cfc79b17} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8818ea6f-e355-44b5-9e69-599d5ebec261} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8cb2d793-e74c-41db-8b88-cf0521fc855f} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5c154841 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
D:\Documents and Settings\Ben\Application Data\AdwareBot (Rogue.AdwareBot) -> Quarantined and deleted successfully.
D:\Documents and Settings\Ben\Application Data\AdwareBot\Log (Rogue.AdwareBot) -> Quarantined and deleted successfully.
D:\Documents and Settings\Ben\Application Data\AdwareBot\Settings (Rogue.AdwareBot) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\fngjbunh.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hnubjgnf.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lgjdwnjw.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wjnwdjgl.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pbfpeygl.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lgyepfbp.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qusosecx.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xcesosuq.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jqobte.dll (Trojan.BHO.H) -> Delete on reboot.
C:\WINDOWS\system32\zcpoaf.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\wemkjp.dll (Trojan.Vundo) -> Delete on reboot.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP505\A0032152.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033152.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033153.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033166.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033179.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033184.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP508\A0034206.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP508\A0034207.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP508\A0034208.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP509\A0034231.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP510\A0034293.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP511\A0034376.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034477.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034478.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034479.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034480.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034483.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034484.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034485.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034486.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034487.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034488.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034489.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034490.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034491.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034492.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034493.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034494.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034495.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034497.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034499.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034552.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034553.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aflrljvf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\axyauh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gdlofwbl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gmtghd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gppauhmv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iqgdtspq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\meorwx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nazdgd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qjkqyyer.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rkvgzm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\scoxpg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\soqcok.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\suldrxif.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wjorbxfd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wjwlnmva.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wyavpsgt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ytsriwti.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
1
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 oct. 2008 à 11:40
Bien ... les chose sont plus claire maintenant ! ^^


poursuis la manoeuvre ...
0
Réponse 4 / 43
E..T Messages postés 6087 Date d'inscription vendredi 1 février 2008 Statut Contributeur Dernière intervention 3 mars 2024 425
25 oct. 2008 à 01:04
Essaye de le virer avec norton.
Et dis moi quoi, mais je ne suis pas convaincu.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 43
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 01:05
problème est que norton prétend pouvoir agir sur monsieur vundo mais pas sur LOP, dans tous les cas ce sera insuffisant
0
Réponse 6 / 43
E..T Messages postés 6087 Date d'inscription vendredi 1 février 2008 Statut Contributeur Dernière intervention 3 mars 2024 425
25 oct. 2008 à 01:07
>> Edit
Vire vundo avec norton si il veut!
0
Réponse 7 / 43
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 01:11
et pour LOP???
0
Réponse 8 / 43
E..T Messages postés 6087 Date d'inscription vendredi 1 février 2008 Statut Contributeur Dernière intervention 3 mars 2024 425
25 oct. 2008 à 01:12
On verra après, norton n'arrive pas à virer vundo si ?
0
Réponse 9 / 43
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
25 oct. 2008 à 01:14
Bonsoir,

avant de virer vundo il y a encore une infection trojan(et norton ne fera rien du tout!)

fais ceci

Télécharge SDfix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Tu peux suivre le tutorial SDFix de Malekal pour t'aider :

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Si SDFix ne se lance pas
Clique sur Démarrer > Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok.
Redémarre et essaie de relance SDFix.

ensuite

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton Bureau.
https://www.malwarebytes.com/

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau pour démarrer le programme d'installation.
Pendant l'installation, suis les indications n'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.
Ferme MBAM
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Relance MBAM
La fenêtre principale de MBAM s'affiche :
Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
Si des malwares ont été détectés, leur liste s'affiche.
***EN CLIQUANT SUR SUPPRESSION(?)FAIT LE***, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse

ensuite il faut faire des MAJ
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 oct. 2008 à 01:22
Re ,

je vous laisse , cependant lop montre aussi un rogue !

Avant de passer malwarebytes , un coup de Smithfraud s'impose ! ....

puis les crack aussi .... ;)


Bonne chasse ....


A+
-1
Réponse 10 / 43
E..T Messages postés 6087 Date d'inscription vendredi 1 février 2008 Statut Contributeur Dernière intervention 3 mars 2024 425
25 oct. 2008 à 01:20
Bonsoir chimay,
Merci de prendre la relève ;p)))
L'infection trojan c'est celle la ?
O4 - HKLM\..\Run: [5c154841] rundll32.exe "C:\WINDOWS\system32\lgjdwnjw.dll",b
Je suis tout ça avec attention (mais un peu de mal)
++
0
Réponse 11 / 43
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 01:27
avant que vous commenciez à me parler chinois, je suis la procédure de chimay8 ou sKe69???
0
Réponse 12 / 43
E..T Messages postés 6087 Date d'inscription vendredi 1 février 2008 Statut Contributeur Dernière intervention 3 mars 2024 425
25 oct. 2008 à 01:31
Cruel dilemme ;-)
0
Réponse 13 / 43
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
25 oct. 2008 à 01:31
une des deux
pas d'importances

SoftLand Ltd (Trojan.FakeAlert) mbam la vire

et la manière de ske aussi
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 oct. 2008 à 01:34
je te laisse la main Chimay8 ;)

tu étais le premier sur le coup ... ^^



PS = SDFix ,pas utile si tu passes MBAM ...


bonne chance ...
0
Réponse 14 / 43
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
25 oct. 2008 à 01:34
e..t
exact
O4 - HKLM\..\Run: [5c154841] rundll32.exe "C:\WINDOWS\system32\lgjdwnjw.dll",b
c'est le trojan
0
Réponse 15 / 43
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 01:34
lol ok chimay je te suis
norton a préféré se coucher :-)
je vous tiens au jus
0
Réponse 16 / 43
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
25 oct. 2008 à 02:15
ok,
je vais pioncer...
a demain
@+
0
Réponse 17 / 43
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 02:32
ok s'il reste qq insomniaques, les rapports SDFix puis hijack:

SDFIX


[b]SDFix: Version 1.237 [/b]
Run by Ben on 25/10/2008 at 01:54

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\autorun.inf - Deleted
D:\DOCUME~1\Ben\LOCALS~1\Temp\TMP1F.tmp - Deleted
D:\DOCUME~1\Ben\LOCALS~1\Temp\TMP20.tmp - Deleted
D:\DOCUME~1\Ben\LOCALS~1\Temp\TMP3.tmp - Deleted
D:\DOCUME~1\Ben\LOCALS~1\Temp\TMPBE.tmp - Deleted
C:\WINDOWS\autorun.inf - Deleted



Folder D:\Documents and Settings\All Users\Application Data\SoftLand Ltd - Removed


Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-25 02:12:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=str(7):"msv1_0\0C:\WINDOWS\system32\urqnnLde\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Lsa]
"Authentication Packages"=str(7):"msv1_0\0C:\WINDOWS\system32\urqnnLde\0"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8CB2D793-E74C-41DB-8B88-CF0521FC855F}]

scanning hidden files ...

C:\WINDOWS\system32\drivers\hkxqdslr.sys 25600 bytes executable
folder error: D:\Documents and Settings\Ben

[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL"
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA"
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:PANDORA"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\APPS\\Inventime\\my.exe"="C:\\APPS\\Inventime\\my.exe:*:Enabled:INVENTIME"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\Program Files\\JLC's Software\\Internet TV\\Internet TV.exe"="C:\\Program Files\\JLC's Software\\Internet TV\\Internet TV.exe:*:Enabled:Internet TV"
"C:\\Program Files\\Aptana\\jre\\bin\\javaw.exe"="C:\\Program Files\\Aptana\\jre\\bin\\javaw.exe:*:Enabled:javaw"
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue 23 May 2006 215 A.SHR --- "C:\BOOT.BAK"
Tue 31 May 2005 54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Tue 31 May 2005 156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Tue 31 May 2005 31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Thu 5 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Thu 5 Aug 2004 4,639 A.SH. --- "C:\Program Files\Windows Media Player\mplayer2.exe"
Fri 3 Nov 2006 64,000 A.SH. --- "C:\Program Files\Windows Media Player\wmplayer.exe"
Tue 31 May 2005 106,496 A..H. --- "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll"

[b]Finished![/b]






HIJACK
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:30:44, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\APPS\SMP\SmpSys.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Spyware Terminator\SpywareTerminator.exe
C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60328
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60328
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\MSN Gaming Zone\Windows\bckgzm.exe"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: {162cebe5-d995-96e9-5b44-553ef6ae8188} - {8818ea6f-e355-44b5-9e69-599d5ebec261} - C:\WINDOWS\system32\jqobte.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [5c154841] rundll32.exe "C:\WINDOWS\system32\lgjdwnjw.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - E:\Player\__CDS2.dll (file missing)
O20 - AppInit_DLLs: zcpoaf.dll wemkjp.dll jqobte.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\pctsAuxs.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\pctsSvc.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 18 / 43
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 02:35
il reste ça
O4 - HKLM\..\Run: [5c154841] rundll32.exe "C:\WINDOWS\system32\lgjdwnjw.dll
0
Réponse 19 / 43
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
25 oct. 2008 à 02:43
et bien d'autres ... ^^

Chimay8 est allé ce pieuté et moi je ne vais pas tarder ... je penses qu'il aurait fais ceci :


Dans l'ordre ( et postes les rapports au fure et à mesure ...) :


1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières.


Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

==========================

2- Télécharges VirtumundoBegone sur ton bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

!! Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

Postes le rapport VBG accompagné d'un nouveau rapport Hijackthis pour analyse ...


======================

3- Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/
( cela dis, il est très simple d'utilisation ).

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ) et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" .
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...




Bonne nuitée .... ;)
0
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 03:15
procédure CCleaner effectuée

par contre le rapport VBG ne dit pas grand chose, je poste aussi le nouveau rapport hijack:
Je continue avec ta procédure malware bytes

A+


VBG

[10/25/2008, 3:04:48] - VirtumundoBeGone v1.5 ( "D:\Documents and Settings\Ben\Bureau\VirtumundoBeGone.exe" )
[10/25/2008, 3:04:52] - Detected System Information:
[10/25/2008, 3:04:52] - Windows Version: 5.1.2600, Service Pack 2
[10/25/2008, 3:04:52] - Current Username: Ben (Admin)
[10/25/2008, 3:04:52] - Windows is in NORMAL mode.
[10/25/2008, 3:04:52] - Searching for Browser Helper Objects:
[10/25/2008, 3:04:52] - BHO 1: {02478D38-C3F9-4EFB-9B51-7695ECA05670} (Yahoo! Toolbar Helper)
[10/25/2008, 3:04:52] - BHO 2: {64F56FC1-1272-44CD-BA6E-39723696E350} ()
[10/25/2008, 3:04:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/25/2008, 3:04:52] - No filename found. Continuing.
[10/25/2008, 3:04:52] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/25/2008, 3:04:52] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[10/25/2008, 3:04:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/25/2008, 3:04:52] - No filename found. Continuing.
[10/25/2008, 3:04:52] - BHO 5: {8818ea6f-e355-44b5-9e69-599d5ebec261} ()
[10/25/2008, 3:04:52] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/25/2008, 3:04:52] - Checking for HKLM\...\Winlogon\Notify\jqobte
[10/25/2008, 3:04:52] - Key not found: HKLM\...\Winlogon\Notify\jqobte, continuing.
[10/25/2008, 3:04:52] - BHO 6: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[10/25/2008, 3:04:52] - BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[10/25/2008, 3:04:52] - Finished Searching Browser Helper Objects
[10/25/2008, 3:04:52] - Finishing up...
[10/25/2008, 3:04:52] - Nothing found! Exiting...





HIJACK


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:14:38, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\APPS\SMP\SmpSys.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60328
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60328
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\MSN Gaming Zone\Windows\bckgzm.exe"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8818ea6f-e355-44b5-9e69-599d5ebec261} - C:\WINDOWS\system32\jqobte.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [5c154841] rundll32.exe "C:\WINDOWS\system32\lgjdwnjw.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - E:\Player\__CDS2.dll (file missing)
O20 - AppInit_DLLs: zcpoaf.dll wemkjp.dll jqobte.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\pctsAuxs.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\pctsSvc.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~2\sp_rsser.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
0
Réponse 20 / 43
bbrunmontreuil Messages postés 32 Date d'inscription vendredi 24 octobre 2008 Statut Membre Dernière intervention 8 septembre 2010
25 oct. 2008 à 11:15
voici le log malwarebyte, il semble qu'il n'ait rien supprimé.
je fais quoi?


Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1316
Windows 5.1.2600 Service Pack 2

25/10/2008 11:08:19
mbam-log-2008-10-25 (11-08-10).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 136657
Temps écoulé: 2 hour(s), 49 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 62

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\zcpoaf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wemkjp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jqobte.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8818ea6f-e355-44b5-9e69-599d5ebec261} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8818ea6f-e355-44b5-9e69-599d5ebec261} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{34e77bb3-ff02-44bb-8ed7-7f71d1ddbd7b} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b38a8a81-07d7-4860-b6f5-f316cfc79b17} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8818ea6f-e355-44b5-9e69-599d5ebec261} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8cb2d793-e74c-41db-8b88-cf0521fc855f} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5c154841 (Trojan.Vundo.H) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
D:\Documents and Settings\Ben\Application Data\AdwareBot (Rogue.AdwareBot) -> No action taken.
D:\Documents and Settings\Ben\Application Data\AdwareBot\Log (Rogue.AdwareBot) -> No action taken.
D:\Documents and Settings\Ben\Application Data\AdwareBot\Settings (Rogue.AdwareBot) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\fngjbunh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hnubjgnf.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lgjdwnjw.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wjnwdjgl.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\pbfpeygl.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\lgyepfbp.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\qusosecx.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\xcesosuq.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jqobte.dll (Trojan.BHO.H) -> No action taken.
C:\WINDOWS\system32\zcpoaf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wemkjp.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP505\A0032152.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033152.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033153.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033166.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033179.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP507\A0033184.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP508\A0034206.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP508\A0034207.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP508\A0034208.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP509\A0034231.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP510\A0034293.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP511\A0034376.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034477.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034478.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034479.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034480.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034483.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034484.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034485.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034486.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034487.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034488.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034489.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034490.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034491.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034492.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034493.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034494.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034495.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034497.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034499.exe (Trojan.LowZones) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034552.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP512\A0034553.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\aflrljvf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\axyauh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gdlofwbl.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gmtghd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gppauhmv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\iqgdtspq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\meorwx.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nazdgd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qjkqyyer.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rkvgzm.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\scoxpg.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\soqcok.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\suldrxif.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wjorbxfd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wjwlnmva.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wyavpsgt.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ytsriwti.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
0

Discussions similaires

adware.pokki
SuperFun -
SuperFun -

9 réponses
Win32:Adware-gen [Adw]
nico -
nico -

98 réponses
virus crossrider
viaumax -
viaumax -

6 réponses
c'est quoi un tracking cookie?
Berivan -
Berivan -

45 réponses
Adware agent : qu'est ce que c'est ?
anonnnime -
Malekal_morte- -

3 réponses