[Trojan] Infecté par "Win32:VBStat-C"Fermé

Question

Bonsoir tout le monde, en téléchargeant un soi-disant exe de programme je me suis retrouvé infecté par le trojan "Win32:VBStat-C".
Merci d'avance si vous pouvez m'aider.

Je poste un logfile hijackthis au cas ou:


Logfile of HijackThis v1.99.1
Scan saved at 23:02:09, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Netropa\Multimedia Keyboard
hksrv.exe
F:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\RunDll32.exe
F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE
F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
F:\WINDOWS\system32\atwtusb.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\WINDOWS\system32undll32.exe
F:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\Program Files\NETGEAR\WG111T Configuration Utility\wlan111t.exe
F:\Program Files\Netropa\Onscreen Display\OSD.exe
F:\Program Files\Netropa\InetKb\Inetkb.exe
F:\WINDOWS\system32\TBLMOUSE.EXE
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\WINDOWS\system32\wscntfy.exe
F:\Program Files\MSN Messenger\usnsvc.exe
F:\WINDOWS\system32undll32.exe
F:\Program Files\Maxthon\Maxthon.exe
F:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {EFE9046A-4638-4C0F-AB51-8223C8FF2251} - F:\WINDOWS\system32\pmkjj.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [LWBMOUSE] F:\Program Files\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: nnnoppn - F:\WINDOWS\SYSTEM32
nnoppn.dll
O20 - Winlogon Notify: pmkjj - F:\WINDOWS\system32\pmkjj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - F:\Program Files\Netropa\Multimedia Keyboard
hksrv.exe (file missing)

rudyrital · Answer

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

* Double-clique VundoFix.exe afin de le lancer. 
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo 
* Clique sur le bouton Scan for Vundo. 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK 
* Démarre ton PC à nouveau. 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

Note Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

bigpogo · Answer

Merci pour la rapidité de ta réponse 
Voici le log VundoFix:



VundoFix V6.4.1

Checking Java version...

Scan started at 23:05:43 28/05/2007

Listing files found while scanning....

F:\WINDOWS\system32\jjkmp.bak1
F:\WINDOWS\system32\jjkmp.ini
F:\WINDOWS\system32
nnoppn.dll
F:\WINDOWS\system32\pmkjj.dll

Beginning removal...

 Attempting to delete F:\WINDOWS\system32\jjkmp.bak1
F:\WINDOWS\system32\jjkmp.bak1 Has been deleted!

 Attempting to delete F:\WINDOWS\system32\jjkmp.ini
F:\WINDOWS\system32\jjkmp.ini Has been deleted!

 Attempting to delete F:\WINDOWS\system32
nnoppn.dll
F:\WINDOWS\system32
nnoppn.dll Could not be deleted.

 Attempting to delete F:\WINDOWS\system32\pmkjj.dll
F:\WINDOWS\system32\pmkjj.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

 Attempting to delete F:\WINDOWS\system32\jjkmp.ini
F:\WINDOWS\system32\jjkmp.ini Has been deleted!

 Attempting to delete F:\WINDOWS\system32
nnoppn.dll
F:\WINDOWS\system32
nnoppn.dll Could not be deleted.

 Attempting to delete F:\WINDOWS\system32\pmkjj.dll
F:\WINDOWS\system32\pmkjj.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.4.1

Checking Java version...

Scan started at 23:19:01 28/05/2007

Listing files found while scanning....

F:\WINDOWS\system32
nnoppn.dll

Beginning removal...

 Attempting to delete F:\WINDOWS\system32
nnoppn.dll
F:\WINDOWS\system32
nnoppn.dll Has been deleted!

Performing Repairs to the registry.
Done!





Ainsi que le log Hijack:



Logfile of HijackThis v1.99.1
Scan saved at 23:26:29, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\RunDll32.exe
F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE
F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
F:\WINDOWS\system32\atwtusb.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\WINDOWS\system32undll32.exe
F:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
F:\Program Files\Netropa\Onscreen Display\OSD.exe
F:\Program Files\Netropa\InetKb\Inetkb.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\WINDOWS\system32\TBLMOUSE.EXE
F:\Program Files\NETGEAR\WG111T Configuration Utility\wlan111t.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Maxthon\Maxthon.exe
F:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FDCBA931-B297-4B5D-9864-F7C97CE7624D} - F:\WINDOWS\system32\pmkjj.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [LWBMOUSE] F:\Program Files\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - F:\Program Files\Netropa\Multimedia Keyboard
hksrv.exe (file missing)

rudyrital · Answer

Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

bigpogo · Answer

Je n'ai pas eu d'écran bleu 
Voici les deux logs:



[05/28/2007, 23:32:58] - VirtumundoBeGone v1.5 ( "F:\Documents and Settings\BigPogo\Bureau\VirtumundoBeGone.exe" )
[05/28/2007, 23:33:57] - Detected System Information:
[05/28/2007, 23:33:57] -  Windows Version: 5.1.2600, Service Pack 2
[05/28/2007, 23:33:57] -  Current Username: BigPogo (Admin)
[05/28/2007, 23:33:57] -  Windows is in NORMAL mode.
[05/28/2007, 23:33:57] - Searching for Browser Helper Objects:
[05/28/2007, 23:33:57] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/28/2007, 23:33:57] -  BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[05/28/2007, 23:33:57] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/28/2007, 23:33:57] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[05/28/2007, 23:33:57] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[05/28/2007, 23:33:57] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/28/2007, 23:33:57] -  BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[05/28/2007, 23:33:57] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/28/2007, 23:33:57] -  No filename found. Continuing.
[05/28/2007, 23:33:57] -  BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[05/28/2007, 23:33:57] -  BHO 6: {FDCBA931-B297-4B5D-9864-F7C97CE7624D} ()
[05/28/2007, 23:33:57] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/28/2007, 23:33:57] -  Checking for HKLM\...\Winlogon\Notify\pmkjj
[05/28/2007, 23:33:57] -  Key not found: HKLM\...\Winlogon\Notify\pmkjj, continuing.
[05/28/2007, 23:33:57] - Finished Searching Browser Helper Objects
[05/28/2007, 23:33:57] - Finishing up...
[05/28/2007, 23:33:57] - Nothing found! Exiting...








Logfile of HijackThis v1.99.1
Scan saved at 23:36:39, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\RunDll32.exe
F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\Program Files\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE
F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
F:\WINDOWS\system32\atwtusb.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\WINDOWS\system32undll32.exe
F:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\Program Files\Netropa\Onscreen Display\OSD.exe
F:\Program Files\Netropa\InetKb\Inetkb.exe
F:\WINDOWS\system32\TBLMOUSE.EXE
F:\Program Files\NETGEAR\WG111T Configuration Utility\wlan111t.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Program Files\Hijackthis Version Française\hijackthis vf.exe
F:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FDCBA931-B297-4B5D-9864-F7C97CE7624D} - F:\WINDOWS\system32\pmkjj.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "F:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [LWBMOUSE] F:\Program Files\NASDAK\OmniMouse Driver\4.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] F:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - F:\Program Files\Netropa\Multimedia Keyboard
hksrv.exe (file missing)

rudyrital · Answer

relance hijackthis puis clic sur "do a system scan only"

apres le scan coche ces lignes et seulement celles ci !!

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {FDCBA931-B297-4B5D-9864-F7C97CE7624D} - F:\WINDOWS\system32\pmkjj.dll (file missing)

referme ton navigateur (internet explorer ) puis clic sur " fix check"

* télécharge AVG Anti-Spyware 

avg antispyware
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html


Tuto : http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

* tu l'installes 

Démarrer AVG antispyware. Cliquer sur "mise à jour", cliquer sur le bouton "Commencer la mise à jour" et attendre la fin de cette mise à jour puis, fermer le programme. 

si tu n'arrives pas à le mettre à jour prends ici les Mise à jour:

http://downloads.ewido.net/avgas-signatures-full-current.exe 



Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

 relancer AVG AS et cliquer sur l'onglet "scanner" puis sur "Analyse complète du système". 
Une fois le scan terminé, il t'affiche un rapport. Cliquer sur "configurer..." en bas a gauche et choisir "supprimer". Ensuite cliquer sur "Appliquer toutes les actions ", ca va supprimer toutes les infections détectées. 
Ensuite cliquer sur "Enregistrer le rapport d'analyse" -> "enregistrer sous" et enregistrer le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse. 


Copie Et colle le rapport ici

bigpogo · Answer

Le scan étant trop long, je l'ai interrompu et je posterai demain
Merci de ton aide et a demain surement.
Bonne fin de soirée.

bigpogo · Answer

Bonjour, voila le résultat du scan AVG



---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	12:35:42 29/05/2007

 + Résultat de l'analyse:	



F:\System Volume Information\_restore{C5C3DF2F-CAE1-4F1B-A96E-85015D9169E6}\RP56\A0023944.exe/crack.exe -> Adware.Virtumonde : Nettoyé.
F:\System Volume Information\_restore{C5C3DF2F-CAE1-4F1B-A96E-85015D9169E6}\RP56\A0023979.dll -> Adware.Virtumonde : Nettoyé.
F:\VundoFix Backups
nnoppn.dll.bad -> Adware.Virtumonde : Nettoyé.
F:\System Volume Information\_restore{C5C3DF2F-CAE1-4F1B-A96E-85015D9169E6}\RP56\A0023944.exe/keygen.exe -> Downloader.LoadAdv : Nettoyé.


Fin du rapport



Merci de ton aide.

rudyrital · Answer

ok, d'autres problemes ?

bigpogo · Answer

Apparement non, encore merci. 
Mon pc a l'air d'aller mieux :)

rudyrital · Answer

¤Désactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu coches la case « désactiver la restauration » et applique. 

Puis, 

¤Réactive ta restauration système (uniquement si tu es sous XP): 
Clic droit sur poste de travail puis, 
propriété, tu cliques sur onglet restauration système 
tu décoches la case « désactiver la restauration » et applique.

ensuite

tu peux desinstaler tous ce que je t'ai fait telecharger pour la desinfection sauf les programmes conseillés ci dessous
je te conseil aussi de faire une defragmentation de ton disque dur 

pour finir quelques conseils de base : 



* Ne pas telecharger n'importe quoi eviter les programes gratuit genre smileys ...ect 

* Toujour analyser les fichiers telecharger depuis un peer to peer (emule , kazza ... ect) avant de les executer 

* Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujour les analysé avant de les ouvrir 

* Toujour analysé les fichiers recu via msn ou autre avec ton antivirus 

* Ne pas cliqué sur des lien louche dans msn 

* Passe reglierement les antispyware (adaware , spybot , avg .. ect) pense a les mettre ajour avant de les lancé c'est tres important 

* Supprime regulierement les fichiers inutiles (fichiers temporaire , cookies .. ect) a l'aide de CCleaner https://www.malekal.com/tutoriel-ccleaner/ 



* Utiliser le navigateur Mozzilla il est plus sure http://www.mozilla-europe.org/fr/products/firefox/ 

-Maintenant que ton ordinateur est propre je te conseille de creer un point de restauration comme ca en cas de probleme (virus , plantage ..ect) tu poura tjr revenir en arriere 
https://www.aidoforum.com/ 

a+++ 

Bon surf ;)

bigpogo · Answer

Merci pour tous ces conseils, j'utilise déjà tous les jours CCleaner ainsi que ATF-Cleaner, et régulièrement les antispywares (Ad-aware... etc). Encore merci et bon surf a toi aussi :)

[Trojan] Infecté par "Win32:VBStat-C"

11 réponses

Discussions similaires

Newsletters