Infection XP Antivirus proFermé

Question

Bonjour,

Je suis infecté par le virus XP Antivirus pro et j'ai essayé plusieurs solutions sans résultat.
Les symptomes étaient : plus le droit de démarrer les programmes, il me dit que je n'ai peut etre pas les droits nécessaires, d'aller dans les configurations et des fenetres proposant d'acheter le logiciel.
J'ai démarré en mode sans échec et il n'y avait aucun signe du virus. 
J'ai alors installé spyware terminator et j'ai fait un scan en mode sans échec, mais il n'a rien changé.
Après ce scan, j'ai redémarré mon pc en mode normal pour voir si le virus était encore là et malheuresement il l'était toujours. J'ai donc redémarré en mode sans échec pour installé malwarebytes mais le fichier ne voulait pas s'ouvrir, rien ne se passait lorsque je double cliquait dessus. 
J'ai donc redémarré à nouveau en mode normal et en essayant d'ouvrir le logiciel malwarebytes, il me demande avec quel programme je veux l'ouvrir. Donc maintenant, je ne peux plus exécuter aucun programme sur mon PC, que dois je faire? 

Merci 
Antoine677

jfkpresident · Answer

Hello;

*Télécharge Rkill (de Grinler) depuis l'un des liens ci dessous :

Rkill
Rkill
Rkill
Rkill

*Enregistrer le fichier sur le Bureau.
*Désactive ton antivirus et/ou antispyware .
*Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
*Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Ensuite essaie de lancer MBAM .

antoine677 · Answer

Finalement j'arrive à lancer les programmes en choisissant dans la liste des programmes le meme programme que celui que je veux ouvrir. Je viens de lancer MBAM et il est en train de faire une analyse. Je te remercie pour ton aide et te tiens au courant.

Antoine677

jfkpresident · Answer

Poste moi le rapport de MBAM et en suivant fait ceci :

Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

antoine677 · Answer

Voilà, en supprimant les infections trouvées le virus semble avoir disparu.
voici le rapport MBAM :


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3756
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

18/02/2010 20:37:25
mbam-log-2010-02-18 (20-37-16).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 174953
Temps écoulé: 57 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 18
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{85891cf5-118e-44af-8682-a7b08d33a9e7} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyayxrh (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{85891cf5-118e-44af-8682-a7b08d33a9e7} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7545d8c8-f53c-4e2f-8fa0-d248ef4a6e61} (Rogue.Installer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7d5dd829-6c90-42c5-b54c-2afa82f988ba} (Rogue.Installer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{85891cf5-118e-44af-8682-a7b08d33a9e7} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\euetcs (Adware.Navipromo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{85891cf5-118e-44af-8682-a7b08d33a9e7} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\softwarehelper (Rogue.Eorezo) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\xxyayXRh.dll (Trojan.Vundo.H) -> No action taken.
C:\Documents and Settings\Pascal\Local Settings\Application Data\euetcs_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Pascal\Local Settings\Application Data\euetcs_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Pascal\Local Settings\Application Data\euetcs.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Pascal\Local Settings\Application Data\euetcs.exe (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Pascal\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe (Rogue.Eorezo) -> No action taken.
C:\Documents and Settings\Pascal\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe (Rogue.Eorezo) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> No action taken.
C:\WINDOWS\BM4f6242e0.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM4f6242e0.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.

La suite arrivera dans un autre message.

antoine677 · Answer

Et voilà le lien.

http://www.cijoint.fr/cjlink.php?file=cj201002/cijnLCi7mL.txt

jfkpresident · Answer

Supprimes tout ce qu'a trouvé MBAM .

Je regarde ton rapport et te donne la suite demain .

Bonne nuit ..

antoine677 · Answer

Ok, merci. 

Il n'y a toujours aucune trace du virus, et tant mieux ^^.
J'attend ton analyse du rapport avec impatience.

Merci beaucoup pour ton aide !!

Antoine677

jfkpresident · Answer

Ok ,il y a encore des restes :

Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

===========

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Relance ZHPDiag en cliquant sur la loupe .

2/Une fois le scan fini ,clique sur "OK" .

3/Coche ces cases (et pas d'autres !):

O2 - BHO: (no name) - {983A8E83-6EA0-46FF-BDD3-C6C9851AA3E1} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\vtUmMcAq.dll       
O42 - Logiciel: Favorit (euetcs) - (.Pas de propriétaire.)  
O42 - Logiciel: SoftwareUpdate 1.0 - (.eoRezo.)       

4/Pour finir clique sur "Nettoyer" .


5/colle le rapport obtenu .

antoine677 · Answer

Voila pour le rapport Navilog: 

Fix Navipromo version 4.0.6 commencé le 19/02/2010 14:35:23,93

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1700+ )
BIOS : Version 1.00
USER : Pascal ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1368 [VPS 100219-0] 4.8.1368 (Activated)


C:\ (Local Disk) - NTFS - Total:39 Go (Free:28 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:113 Go (Free:97 Go)
H:\ (USB)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur




Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Pascal\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

C:\WINDOWS\system32\qAcMmUtv.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !



*** Scan terminé 19/02/2010 14:39:52,34 ***

antoine677 · Answer

Je n'ai trouvé que deux des trois lignes que tu m'as demandé :
O42 - Logiciel: SoftwareUpdate 1.0 - (.eoRezo.) 
O2 - BHO: (no name) - {983A8E83-6EA0-46FF-BDD3-C6C9851AA3E1} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\vtUmMcAq.dll 

Je les ai donc "nettoyés"

Quel rapport veux tu?
après nettoyage j'obtiens ceci :

ZHPFix v1.12.302  by Nicolas Coolman - Rapport de suppression du 19/02/2010 14:52:12
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan





Ou sinon, le voici le rapport d'une nouvelle analyse après nettoyage





Rapport de ZHPDiag v1.25.119 par Nicolas Coolman
Run by Pascal at 19/02/2010 14:52:58
Web site :  http://www.premiumorange.com/zeb-help-process/zhpdiag.html

---\ Web Browser
MSIE: Internet Explorer v7.0.5730.13
MFIE: Mozilla Firefox (3.0.17)

---\ System Information
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
Processor: x86 Family 6 Model 10 Stepping 0, AuthenticAMD
Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 511 MB (30% free)
System drive C: has 29 GB (74%) free of 39 GB

---\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 29 Go of 39 Go)
D:\ CD-ROM drive (Not Inserted)
E:\ CD-ROM drive (Not Inserted)
F:\ Hard drive, Flash drive, Thumb drive (Free 98 Go of 114 Go)
H:\ Floppy drive, Flash card reader, USB Key (Not Inserted)


---\ Processus lancés
[MD5.8B9145D229D4E89D15ACB820D4A3A90F] - (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
[MD5.0A7E9FDF3BF1980CA09FEEAC7F52EFBC] - (.ALWIL Software - avast! service GUI component.) -- C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
[MD5.C93AB037A8C792D5F8A1A9FC88A7C7C5] - (.Nero AG - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe
[MD5.3CDBC4AC57BFADA72182AB8BD08E727F] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Steganos Safe Home\SteganosHotKeyService.exe
[MD5.A7AE382BDADD608D7C8D15C8A5093D99] - (.Google - Google Desktop.) -- C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
[MD5.6AB4C021FBD36DC6764924C312428D97] - (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
[MD5.5584247B568C2E53934873F4B655FE6A] - (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
[MD5.1E172B784E6564834455CB65DE87B82C] - (.Teknum Systems AS - Pas de description.) -- C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe
[MD5.5D61BE7DB55B026A5D61A3EED09D0EAD] - (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[MD5.4B7A840613734F1FE0D102346640E300] - (.Crawler.com - Crawler Spyware Terminator.) -- C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
[MD5.5DEBC3519D489411073FA7E56FFB4A93] - (.ALWIL Software - avast! Antivirus updating service.) -- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
[MD5.1BD6C2F707A275CB7C16FD99FE0F31CA] - (.Microsoft Corporation - Generic Host Process for Win32 Services.) -- C:\WINDOWS\System32\svchost.exe
[MD5.0AAF6B848185899CF76AE04E62EAB3D2] - (.ALWIL Software - avast! antivirus service.) -- C:\Program Files\Alwil Software\Avast4\ashServ.exe
[MD5.732E0B1ABAACE15D80EC19056B0A2AF9] - (.Microsoft Corporation - Applications Services et Contrôleur.) -- C:\WINDOWS\system32\services.exe
[MD5.8F0DE4FEF8201E306F9938B0905AC96A] - (.Google Inc. - Programme d'installation de Google.) -- C:\Program Files\Google\Update\GoogleUpdate.exe
[MD5.0E01D7EEBADA0B324DB0CA1EE73440BA] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\PnkBstrA.exe
[MD5.1428E6CC1458A36CBFC1F2E304C7C42D] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\PnkBstrB.exe
[MD5.9F3744A5C6F49291A7A685040A013399] - (.Microsoft Corporation - LSA Shell (Export Version).) -- C:\WINDOWS\system32\lsass.exe
[MD5.D358E077A0A05D9B12DA22D137EE8464] - (.Microsoft Corp. - Microsoft SeaPort Search Enhancement Broker.) -- C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
[MD5.DA81EC57ACD4CDC3D4C51CF3D409AF9F] - (.Microsoft Corporation - Spooler SubSystem App.) -- C:\WINDOWS\system32\spoolsv.exe
[MD5.7601CC42B6382FA03C3F55A663761D3B] - (.Crawler.com - Spyware Terminator Realtime Shield Service.) -- C:\Program Files\Spyware Terminator\sp_rsser.exe


---\ Pages de démarrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp


---\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm


---\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Internet Explorer.) (7.00.6000.16608 (vista_gdr.071204-1500)) -- C:\WINDOWS\system32\ieframe.dll


---\ Browser Helper Objects de navigateur (O2)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} . (.Microsoft Corp. - Microsoft Search Helper Extention.) -- C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll


---\ Internet Explorer Toolbars (O3)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} . (.Microsoft Corporation - Windows Live Toolbar Core.) -- C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll


---\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe 
O4 - HKLM\..\Run: [avast!] . (.ALWIL Software - avast! service GUI component.) -- C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
O4 - HKLM\..\Run: [NeroFilterCheck] . (.Nero AG - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe 
O4 - HKLM\..\Run: [SAFEHOME HotKeys] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Steganos Safe Home\SteganosHotKeyService.exe 
O4 - HKLM\..\Run: [Google Desktop Search] . (.Google - Google Desktop.) -- C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe 
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe 
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [Update Service] . (.Teknum Systems AS - Pas de description.) -- C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe 
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] . (.Crawler.com - Crawler Spyware Terminator.) -- C:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
O4 - Global Startup: hp psc 2000 Series.lnk . (.Hewlett-Packard Co. - HP OfficeJet COM Device Objects.)  -- C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk . (.Hewlett-Packard - hpotdd01.)  -- C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: McAfee Security Scan.lnk . (.McAfee, Inc. - McAfee Security Scanner Scheduler.)  -- C:\Program Files\McAfee Security Scan\1.0.150\SSScheduler.exe
O4 - Global Startup: Outil de notification Live Search.lnk . (.Microsoft Corporation - Outil de Notification LiveSearch.)  -- C:\Documents and Settings\Pascal\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe


---\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: Google Sidewiki... . (.Google Inc. - Google Toolbar for Internet Explorer.) -- C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll


---\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} . (.not file.) - 
O9 - Extra button: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} . (.Microsoft Corporation - Windows Live Writer Blog This Extension.) -- C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - 
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} . (.Microsoft Corporation - Windows Messenger.) -- C:\Program Files\Messenger\msmsgs.exe


---\ Winsock hijacker (Layered Service Provider) (O10)
O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\WINDOWS\system32\winrnr.dll
O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll


---\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {32505657-9980-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} () - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab


---\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 - AppInit_DLLs: . (.Google - Google Desktop.) -- C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.dll


---\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Web Site Monitor.) -- C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} . (.Microsoft Corporation - Objet du service d'environnement Systray.) -- C:\WINDOWS\system32\stobject.dll


---\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation - Bibliothèque de l'interface utilisateur du.) -- C:\WINDOWS\system32\browseui.dll


---\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service:  (aswUpdSv) . (.ALWIL Software - avast! Antivirus updating service.) - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service:  (avast! Antivirus) . (.ALWIL Software - avast! antivirus service.) - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service:  (gupdate) . (.Google Inc. - Programme d'installation de Google.) - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service:  (PnkBstrA) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service:  (PnkBstrB) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service:  (sp_rssrv) . (.Crawler.com - Spyware Terminator Realtime Shield Service.) - C:\Program Files\Spyware Terminator\sp_rsser.exe



End of the scan (147 lines in 00mn 00s)

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".





:reg
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{983A8E83-6EA0-46FF-BDD3-C6C9851AA3E1}]
:files
C:\WINDOWS\system32\qAcMmUtv.ini2
C:\WINDOWS\system32\vtUmMcAq.dll 
:services

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

antoine677 · Answer

Est ce réellement important de faire ces manips? Il s'agit enfaite du PC d'un voisin, et après la soirée d'hier, et encore un retour en début d'après midi, je voudrais pas etre lourd avec eux ^^.
Renseigne moi juste sur la nature de la ou des menaces présentes et des conséquences qu'elles peuvent avoir stp.

Merci 
Antoine677

jfkpresident · Answer

C:\WINDOWS\system32\qAcMmUtv.ini2
C:\WINDOWS\system32\vtUmMcAq.dll 

Infection de type Vundo .

Apres cette manip ,tu sera tranquille ...Comme tu le sent ?!

Infection XP Antivirus pro

13 réponses

Discussions similaires

Newsletters