TR/Dldr.ConHook.GenRésolu/Fermé

Question

Bonjour, je viens poster ce message car je suis infecté par TR/Dldr.ConHook.Gen
J'utilise antivir qui passe son temps à me balancer des popup m'indiquant que je
suis outrageusement verrolé :o

Je me suis basé sur ce post : http://forum.telecharger.01net.com/forum/

Mais apres utilisation de VundoFix il se trouve qu'il n'arrive pas à supprimer plusieurs fichiers.
Voici le log obtenu via HijackThis
J'ai essayé de "fix" les lignes 
O2 - BHO: (no name) - {C98C603D-B642-4645-91C8-E243F45B049B} - C:\WINDOWS\System32\awvtt.dll
O2 - BHO: (no name) - {E5225210-F293-40FE-BB2F-D5A3C7F13C47} - C:\WINDOWS\system32\ddcyvtu.dll
mais ca ne semble pas fonctionner...

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:14:57, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tycho\Bureau\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: (no name) - {C98C603D-B642-4645-91C8-E243F45B049B} - C:\WINDOWS\System32\awvtt.dll
O2 - BHO: (no name) - {E5225210-F293-40FE-BB2F-D5A3C7F13C47} - C:\WINDOWS\system32\ddcyvtu.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/194d1d637481ea141e19/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: awvtt - C:\WINDOWS\System32\awvtt.dll
O20 - Winlogon Notify: ddcyvtu - C:\WINDOWS\SYSTEM32\ddcyvtu.dll
O21 - SSODL: printers - {B1D54430-3AE1-4ADF-B3BB-BADBFB8F5D2B} - libmsns.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32	lntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

did71 · Answer

Bonsoir,

il ne faut rien fixer sans l'avis d'un conseiller!

* Télécharge VundoFix.exe (par Atribune) sur ton Bureau:

http://www.atribune.org/public-beta/VundoFix.exe

* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

a+

Tycho · Answer

C'est déjà fait... Y me dis bel et bien qui veux supprimer les fichiers au redémarrage, mais ne le fait pas.
Log Hijack :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:58:34, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tycho\Bureau\VundoFix.exe
C:\Documents and Settings\Tycho\Bureau\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4DCA2E9C-AA2B-4F1F-AA34-B480DFE59CE7} - C:\WINDOWS\System32\awvtt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: (no name) - {E5225210-F293-40FE-BB2F-D5A3C7F13C47} - C:\WINDOWS\system32\ddcyvtu.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/194d1d637481ea141e19/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: awvtt - C:\WINDOWS\System32\awvtt.dll
O20 - Winlogon Notify: ddcyvtu - C:\WINDOWS\SYSTEM32\ddcyvtu.dll
O21 - SSODL: printers - {B1D54430-3AE1-4ADF-B3BB-BADBFB8F5D2B} - libmsns.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32	lntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

did71 · Answer

re,

oui mais on va aller les chercher tes bébétes!

* Relance Vundofix
 * Ne clique pas sur "Scan for a vundo"
 * Clique droit au milieu de la fenêtre
 * Clique sur Add more files ?
 * Copie/colle les fichiers ci-dessous ( un par case) :

C:\windows\system32\awvtt.dll 
C:\WINDOWS\system32\ddcyvtu.dll 

 * Clique sur Add files
 * Ensuite clique sur Close Windows
 * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
 * Si l'outils demande un redémarrage, accepte
 * Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis 

a+

Tycho · Answer

Aucun changement :o Il arrive a rien supprimer meme avec les nouveaux fichiers cibles

Hijack :

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:30:59, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Documents and Settings\Tycho\Bureau\scanner.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31A96B91-1DB1-4899-A035-D0D6DEE864E7} - C:\WINDOWS\System32\awvtt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: (no name) - {E5225210-F293-40FE-BB2F-D5A3C7F13C47} - C:\WINDOWS\system32\ddcyvtu.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/194d1d637481ea141e19/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: awvtt - C:\WINDOWS\System32\awvtt.dll
O20 - Winlogon Notify: ddcyvtu - C:\WINDOWS\SYSTEM32\ddcyvtu.dll
O21 - SSODL: printers - {B1D54430-3AE1-4ADF-B3BB-BADBFB8F5D2B} - libmsns.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32	lntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

did71 · Answer

re,

ok!

Télécharge ComboFix (par sUBs) d'un de ces liens sur ton bureau:

http://www.techsupportforum.com/sectools/combofix.exe

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
 
 
Double clique combofix.exe et suis les invites 

Poste le rapport!

a+

Tycho · Answer

Rapport m'sieur !

ComboFix 07-09-21.2 - "Tycho" 2007-09-25 22:43:28.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.400 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\Tycho.\aria.txt
C:\WINDOWS\system32\awvtt.dll
C:\WINDOWS\system32\ttvwa.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_DOMAINSERVICE
-------\poof

((((((((((((((((((((((((( Files Created from 2007-08-25 to 2007-09-25 )))))))))))))))))))))))))))))))
.

2007-09-25 22:42 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-25 20:58 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-09-25 20:48 <REP> d-------- C:\VundoFix Backups
2007-09-21 14:49 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-09-16 20:17 <REP> d-------- C:\Program Files\Microsoft.NET
2007-09-16 20:16 <REP> d-------- C:\Program Files\Fichiers communs\Merge Modules
2007-09-16 20:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
2007-09-16 20:05 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
2007-09-16 19:52 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-09-16 19:47 <REP> d-------- C:\WINDOWS\ServicePackFiles
2007-09-16 19:44 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-09-16 19:42 <REP> d-------- C:\WINDOWS\EHome
2007-09-16 11:36 <REP> d-------- C:\WINDOWS\.jagex_cache_32
2007-09-06 02:58 <REP> d-------- C:\Program Files\DivX
2007-08-26 13:07 <REP> d-------- C:\DOCUME~1\Tycho\APPLIC~1\Apple Computer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-25 20:05 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\OpenOffice.org2
2007-09-22 15:46 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Azureus
2007-09-16 20:06 --------- d-------- C:\Program Files\MSN Messenger
2007-09-15 17:38 --------- d-------- C:\Program Files\PKR
2007-09-14 13:48 --------- d-------- C:\Program Files\Azureus
2007-08-24 20:04 107888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-08-23 23:11 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Command & Conquer 3 Les guerres du Tiberium
2007-08-23 23:09 --------- dr-h----- C:\DOCUME~1\Tycho\APPLIC~1\SecuROM
2007-08-20 19:07 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Propellerhead Software
2007-08-20 19:07 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Propellerhead Software
2007-08-19 10:44 233472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2007-08-19 10:44 225280 --a------ C:\WINDOWS\system32\ReWire.dll
2007-08-18 13:15 --------- d-------- C:\Program Files\WinAVI MP4 Converter
2007-08-12 12:04 307144 --a------ C:\WINDOWS\system32\gocdxdk.exe
2007-08-07 18:52 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\DeepBurner Pro
2007-08-07 18:43 --------- d-------- C:\Program Files\Astonsoft
2007-07-31 19:10 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-28 20:13 --------- d-------- C:\Program Files\NeoTrace Express
2007-07-27 22:28 --------- d-------- C:\Program Files\Real Alternative
2007-07-27 22:28 --------- d-------- C:\Program Files\Media Player Classic
2007-07-27 22:28 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
2007-07-27 22:26 --------- d-------- C:\Program Files\Combined Community Codec Pack
2007-07-27 22:19 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Media Player Classic
2007-07-27 01:06 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-24 18:58 319 --a------ C:\update.exe
2007-06-27 15:44 357 --a------ C:\DOCUME~1\Tycho\.cb_layout.bin
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E5225210-F293-40FE-BB2F-D5A3C7F13C47}]
2007-06-10 04:52 33302 --------- C:\WINDOWS\system32\ddcyvtu.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-10-10 15:49]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-21 14:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
"msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Steam"="C:\Program Files\Valve\Steam\Steam.exe" [2007-09-16 18:48]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{E5225210-F293-40FE-BB2F-D5A3C7F13C47}"= C:\WINDOWS\system32\ddcyvtu.dll [2007-06-10 04:52 33302]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyvtu]
ddcyvtu.dll 2007-06-10 04:52 33302 C:\WINDOWS\system32\ddcyvtu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GPLv3]
rundll32.exe "C:\WINDOWS\System32\hbpeejyf.dll",realset

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iut75]
c:\windows\system32\drivers\uzcx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
%systemroot%\system32\dumprep 0 -u

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"C:\Program Files\Save\Save.exe"

S3 Maplom;Maplom;C:\WINDOWS\system32\drivers\Maplom.sys
S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-25 22:47:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-25 22:49:59 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-25 22:49
.
--- E O F ---

Tycho · Answer

Ya celui la aussi :o

[code]
2007-07-08 21:23      15399    --a------    C:\Qoobox\Quarantine\C\ComboFix\FProps.vbs.vir
2007-07-12 23:42      263220    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\awvtt.dll.vir
2007-09-17 12:24      0    --a------    C:\Qoobox\Quarantine\C\DOCUME~1\Tycho\aria.txt.vir
2007-09-25 22:45      152    --a------    C:\Qoobox\Quarantine\catchme.log
2007-09-25 22:45      1609    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32	tvwa.ini.vir
2007-09-25 22:45      212    --a------    C:\Qoobox\Quarantine\Registry_backups\services_poof.reg.dat
2007-09-25 22:45      254132    --a------    C:\Qoobox\Quarantine\catchme2007-09-25_224751.00.zip
2007-09-25 22:45      846    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_DOMAINSERVICE.reg.dat


Structure du dossier
Le num‚ro de s‚rie du volume est 1C2D-9341
C:\QOOBOX\QUARANTINE
|   catchme.log
|   catchme2007-09-25_224751.00.zip
|   
+---C
|   +---ComboFix
|   |       FProps.vbs.vir
|   |       
|   +---DOCUME~1
|   |   \---Tycho
|   |           aria.txt.vir
|   |           
|   \---WINDOWS
|       \---system32
|               awvtt.dll.vir
|               ttvwa.ini.vir
|               
\---Registry_backups
        LEGACY_DOMAINSERVICE.reg.dat
        services_poof.reg.dat
        
[/code]

did71 · Answer

re,

je vais encore te demander des rapports!

rends toi ici:

https://www.virustotal.com/gui/

et fais analyser:

C:\WINDOWS\system32\wmpns.dll
C:\WINDOWS\system32\ddcyvtu.dll
C:\WINDOWS\System32\hbpeejyf.dll
c:\windows\system32\drivers\uzcx.exe


a+

Tycho · Answer

Pour le premier, rien sur tout les antivirus
Pour les 3 autres, je les aient pas :p

Mais je viens de realiser que depuis tout a l'heure je faisait "delete" sur antivir quand
y me balancais sa popup :p Je relance ComboFix et l'autre et te remet les log... :p
Dsl ^^

Tycho · Answer

Apres avoir repondu les log j'ai analysé :

C:\WINDOWS\system32\wmpns.dll
C:\WINDOWS\system32\ddcyvtu.dll
C:\WINDOWS\system32\wmpns.dll
c:\windows\system32\drivers\uzcx.exe

et j'ai obtenu ca pour C:\WINDOWS\system32\ddcyvtu.dll

AhnLab-V3 2007.9.22.0 2007.09.24 -
AntiVir 7.6.0.15 2007.09.25 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.09.25 -
Avast 4.7.1043.0 2007.09.24 Win32:Vundo-gen46
AVG 7.5.0.485 2007.09.25 Adware Generic2.CUF
BitDefender 7.2 2007.09.25 MemScan:Trojan.Virtumonde.IC
CAT-QuickHeal 9.00 2007.09.24 AdWare.Virtumonde.bq (Not a Virus)
ClamAV 0.91.2 2007.09.25 Adware.Virtumonde-98
DrWeb 4.33 2007.09.25 Trojan.Virtumod
eSafe 7.0.15.0 2007.09.23 Suspicious Trojan/Worm
eTrust-Vet 31.2.5162 2007.09.25 Win32/Chisyne!generic
Ewido 4.0 2007.09.25 Adware.Virtumonde
FileAdvisor 1 2007.09.25 -
Fortinet 3.11.0.0 2007.09.25 Adware/VirtuMonde
F-Prot 4.3.2.48 2007.09.25 W32/Adware.KQS
F-Secure 6.70.13030.0 2007.09.25 -
Ikarus T3.1.1.12 2007.09.25 Backdoor.Win32.Prorat.19.i
Kaspersky 4.0.2.24 2007.09.25 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5127 2007.09.25 -
Microsoft 1.2803 2007.09.25 Trojan:Win32/Conhook.A
NOD32v2 2549 2007.09.25 probably a variant of Win32/TrojanDownloader.ConHook
Norman 5.80.02 2007.09.25 W32/Virtumonde.dam
Panda 9.0.0.4 2007.09.25 Spyware/Virtumonde
Prevx1 V2 2007.09.25 -
Rising 19.42.11.00 2007.09.25 Trojan.DL.Mnless.agg
Sophos 4.21.0 2007.09.25 Virtumundo
Sunbelt 2.2.907.0 2007.09.25 VIPRE.Suspicious
Symantec 10 2007.09.25 Trojan.Vundo
TheHacker 6.2.5.068 2007.09.25 Adware/Virtumonde.bq
VBA32 3.12.2.4 2007.09.25 OScope.Adware.GVEA.Virtumonde
VirusBuster 4.3.26:9 2007.09.25 Adware.Vundo.Gen!Pac.13
Webwasher-Gateway 6.0.1 2007.09.25 Trojan.Dldr.ConHook.Gen

ComboFix 07-09-21.2 - "Tycho" 2007-09-25 23:17:36.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.419 [GMT 2:00]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ddcyvtu.dll

.
((((((((((((((((((((((((( Files Created from 2007-08-25 to 2007-09-25 )))))))))))))))))))))))))))))))
.

2007-09-25 22:42 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-25 20:58 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-09-25 20:48 <REP> d-------- C:\VundoFix Backups
2007-09-21 14:49 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-09-16 20:17 <REP> d-------- C:\Program Files\Microsoft.NET
2007-09-16 20:16 <REP> d-------- C:\Program Files\Fichiers communs\Merge Modules
2007-09-16 20:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
2007-09-16 20:05 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
2007-09-16 19:52 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-09-16 19:47 <REP> d-------- C:\WINDOWS\ServicePackFiles
2007-09-16 19:44 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-09-16 19:42 <REP> d-------- C:\WINDOWS\EHome
2007-09-16 11:36 <REP> d-------- C:\WINDOWS\.jagex_cache_32
2007-09-06 02:58 <REP> d-------- C:\Program Files\DivX
2007-08-26 13:07 <REP> d-------- C:\DOCUME~1\Tycho\APPLIC~1\Apple Computer

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-25 20:05 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\OpenOffice.org2
2007-09-22 15:46 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Azureus
2007-09-16 20:06 --------- d-------- C:\Program Files\MSN Messenger
2007-09-15 17:38 --------- d-------- C:\Program Files\PKR
2007-09-14 13:48 --------- d-------- C:\Program Files\Azureus
2007-08-24 20:04 107888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-08-23 23:11 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Command & Conquer 3 Les guerres du Tiberium
2007-08-23 23:09 --------- dr-h----- C:\DOCUME~1\Tycho\APPLIC~1\SecuROM
2007-08-20 19:07 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Propellerhead Software
2007-08-20 19:07 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Propellerhead Software
2007-08-19 10:44 233472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2007-08-19 10:44 225280 --a------ C:\WINDOWS\system32\ReWire.dll
2007-08-18 13:15 --------- d-------- C:\Program Files\WinAVI MP4 Converter
2007-08-12 12:04 307144 --a------ C:\WINDOWS\system32\gocdxdk.exe
2007-08-07 18:52 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\DeepBurner Pro
2007-08-07 18:43 --------- d-------- C:\Program Files\Astonsoft
2007-07-31 19:10 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-28 20:13 --------- d-------- C:\Program Files\NeoTrace Express
2007-07-27 22:28 --------- d-------- C:\Program Files\Real Alternative
2007-07-27 22:28 --------- d-------- C:\Program Files\Media Player Classic
2007-07-27 22:28 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
2007-07-27 22:26 --------- d-------- C:\Program Files\Combined Community Codec Pack
2007-07-27 22:19 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Media Player Classic
2007-07-27 01:06 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-24 18:58 319 --a------ C:\update.exe
2007-06-27 15:44 357 --a------ C:\DOCUME~1\Tycho\.cb_layout.bin
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-10-10 15:49]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-21 14:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
"msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Steam"="C:\Program Files\Valve\Steam\Steam.exe" [2007-09-16 18:48]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GPLv3]
rundll32.exe "C:\WINDOWS\System32\hbpeejyf.dll",realset

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iut75]
c:\windows\system32\drivers\uzcx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
%systemroot%\system32\dumprep 0 -u

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"C:\Program Files\Save\Save.exe"

S3 Maplom;Maplom;C:\WINDOWS\system32\drivers\Maplom.sys
S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-25 23:21:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-25 23:22:52 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-25 23:22
C:\ComboFix2.txt ... 2007-09-25 22:49
.
--- E O F ---

Et voici le nouveau Hijack

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:27:58, on 25/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Tycho\Bureau\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/194d1d637481ea141e19/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

did71 · Answer

re,


ok, vu que le fichier résiste, on va frapper fort!

1. Télécharge The Avenger par Swandog46 sur ton Bureau: 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Click sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur votre bureau 

2. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Files to delete: 
C:\WINDOWS\system32\ddcyvtu.dll

Folders to delete: 
C:\Program Files\Save

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau. 
Sous "Script file to execute" choisir "Input Script Manually". 
Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script" 
Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V). 
Cliquer Done 
ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script 
Réponds "Yes" deux fois quand demandé. 

4. The Avenger va automatiquement faire ce qui suit: 
Il va Re-démarrer le système. 
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL. 
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt 

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt

a+

Tycho · Answer

Heu... rien je crois :p
Pas un truc pour le tuer sans lancer le chargement de win ?
Ou alors faut frapper + fort ^^

Merci de ton aide :) Tu gères lol


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qbttaacm

*******************

Script file located at: \??\C:\WINDOWS\iuqcwrgt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\ddcyvtu.dll not found!
Deletion of file C:\WINDOWS\system32\ddcyvtu.dll failed!

Could not process line:
C:\WINDOWS\system32\ddcyvtu.dll
Status: 0xc0000034



Folder C:\Program Files\Save not found!
Deletion of folder C:\Program Files\Save failed!

Could not process line:
C:\Program Files\Save
Status: 0xc0000034


Completed script processing.

*******************

Finished!  Terminate.

did71 · Answer

re,

plus fort qu'avenger,non!

le fichier n'existe plus!

il doît rester des traces dans la bdr!

re passe combo et poste le rapport!

a+

Tycho · Answer

Je post le combo ce soir (pas le temps ce matin), mais notons que
mon antivirus ne popup plus toutes les 2 secondes ^^ Bon signe =)
Ah j'avai un autre truc étrange, qui apparement venait du Virus puisque
ce n'est plus le cas, à savoir qu'au moment de l'écran d'acceuil (le "bienvenue"
malvenu sur son écran bleu en fond) ya un truc qui essayais d'acceder à
mon lecteur A :o Que je n'ai pas dailleur (il est débranché). Virus qui se
trip ca ? :p

Bon donc a prioris, je te dis un grand Merci :)
Je post pr combo ce soir pr confirmer ca ^^

Tycho · Answer

Et, cette entrée de la base de registre supprimé j'ai :
HKEY_USERS, S-1-5-21-790525478-261903793-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll, a, C:\WINDOWS\system32\ddcyvtu.dll, 09/25/2007 09:14 PM

(trouvé avec un cleaner hein, j'y suis pas allé a la main, donc pas besoin de l'avis d'un conseiller non ? :) Combofix ce soir :p

did71 · Answer

Bonsoir,

ok j'attends le nouveau rapport!

a+

Tycho · Answer

Hop hop vala le combofix :

ComboFix 07-09-21.2 - "Tycho" 2007-09-26 23:40:25.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.411 [GMT 2:00]
.

((((((((((((((((((((((((((((( Fichiers créés 2007-08-26 to 2007-09-26 ))))))))))))))))))))))))))))))))))))
.

2007-09-25 22:42 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-25 20:58 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-09-25 20:58 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-09-25 20:58 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-09-25 20:48 <REP> d-------- C:\VundoFix Backups
2007-09-21 14:49 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-09-16 20:17 <REP> d-------- C:\Program Files\Microsoft.NET
2007-09-16 20:16 <REP> d-------- C:\Program Files\Fichiers communs\Merge Modules
2007-09-16 20:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
2007-09-16 20:05 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
2007-09-16 19:52 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-09-16 19:47 <REP> d-------- C:\WINDOWS\ServicePackFiles
2007-09-16 19:44 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-09-16 19:42 <REP> d-------- C:\WINDOWS\EHome
2007-09-16 11:36 <REP> d-------- C:\WINDOWS\.jagex_cache_32
2007-09-06 02:58 <REP> d-------- C:\Program Files\DivX
2007-08-26 13:07 <REP> d-------- C:\DOCUME~1\Tycho\APPLIC~1\Apple Computer

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-25 20:05 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\OpenOffice.org2
2007-09-22 15:46 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Azureus
2007-09-16 20:06 --------- d-------- C:\Program Files\MSN Messenger
2007-09-15 17:38 --------- d-------- C:\Program Files\PKR
2007-09-14 13:48 --------- d-------- C:\Program Files\Azureus
2007-08-24 20:04 107888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-08-23 23:11 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Command & Conquer 3 Les guerres du Tiberium
2007-08-23 23:09 --------- dr-h----- C:\DOCUME~1\Tycho\APPLIC~1\SecuROM
2007-08-20 19:07 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Propellerhead Software
2007-08-20 19:07 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Propellerhead Software
2007-08-19 10:44 233472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2007-08-19 10:44 225280 --a------ C:\WINDOWS\system32\ReWire.dll
2007-08-18 13:15 --------- d-------- C:\Program Files\WinAVI MP4 Converter
2007-08-12 12:04 307144 --a------ C:\WINDOWS\system32\gocdxdk.exe
2007-08-07 18:52 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\DeepBurner Pro
2007-08-07 18:43 --------- d-------- C:\Program Files\Astonsoft
2007-07-31 19:10 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-28 20:13 --------- d-------- C:\Program Files\NeoTrace Express
2007-07-27 22:28 --------- d-------- C:\Program Files\Real Alternative
2007-07-27 22:28 --------- d-------- C:\Program Files\Media Player Classic
2007-07-27 22:28 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
2007-07-27 22:26 --------- d-------- C:\Program Files\Combined Community Codec Pack
2007-07-27 22:19 --------- d-------- C:\DOCUME~1\Tycho\APPLIC~1\Media Player Classic
2007-07-27 01:06 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-24 18:58 319 --a------ C:\update.exe
2007-06-27 15:44 357 --a------ C:\DOCUME~1\Tycho\.cb_layout.bin
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-10-10 15:49]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-21 14:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
"msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Steam"="C:\Program Files\Valve\Steam\Steam.exe" [2007-09-16 18:48]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GPLv3]
rundll32.exe "C:\WINDOWS\System32\hbpeejyf.dll",realset

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iut75]
c:\windows\system32\drivers\uzcx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
%systemroot%\system32\dumprep 0 -u

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"C:\Program Files\Save\Save.exe"

S3 Maplom;Maplom;C:\WINDOWS\system32\drivers\Maplom.sys
S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys

.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-26 23:42:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-09-26 23:43:03
C:\ComboFix-quarantined-files.txt ... 2007-09-26 23:42
C:\ComboFix2.txt ... 2007-09-25 23:22
C:\ComboFix3.txt ... 2007-09-25 22:49
.
--- E O F ---

Tycho · Answer

Et pour info,

c:\windows\system32\drivers\uzcx.exe
C:\WINDOWS\System32\hbpeejyf.dll

introuvables sur le disque

Tit scan AntiVir

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Tycho\Bureau\avenger.zip
[0] Archive type: ZIP
--> avenger.exe
[DETECTION] Contains detection pattern of the dropper DR/TimeReset.C.45
[WARNING] The file was ignored!
C:\Documents and Settings\Tycho\Bureau\ComboFix(2).exe
[0] Archive type: RAR SFX (self extracting)
--> setpath.cfexe
[DETECTION] Contains suspicious code HEUR/Malware
[WARNING] The file was ignored!
C:\qoobox\Quarantine\catchme2007-09-25_232117.78.zip
[0] Archive type: ZIP
--> ddcyvtu.dll
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
[INFO] The file was deleted!
C:\qoobox\Quarantine\C\WINDOWS\system32\awvtt.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was deleted!
C:\qoobox\Quarantine\C\WINDOWS\system32\ddcyvtu.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was deleted!
C:\VundoFix Backups\ddcyvtu.dll.bad
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
[INFO] The file was deleted!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <LOST&FOUND>
Begin scan in 'E:\' <Appz>
Begin scan in 'I:\' <WAREZ>
I:\Rar$EX00.328\avenger.exe
[DETECTION] Contains detection pattern of the dropper DR/TimeReset.C.45
[WARNING] The file was ignored!

Et enfin le Vundo log:

Scan started at 23:55:06 26/09/2007

Listing files found while scanning....

No infected files were found.

did71 · Answer

Bonsoir,

 Crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau"> "Document Texte". Ouvre-le et copie-colle dedans de ce qui est en gras ci dessous, (copie tout d'un trait) : 

REGEDIT4 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GPLv3] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iut75] 



Puis "fichier"/"enregistrer sous" : 
dans : sur le bureau 
Nom du fichier : fix.reg 
Type de fichier : "tous les fichiers" 
clique sur "enregistrer" 

double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui"!

Sinon, comment se comporte le pc??

a+

Tycho · Answer

Bonsoir ^^
Fait le truc de registre :o
Pour le pc, y me balance pas de couilles depuis hier, juste quelques alertes antivir de temps a autre pour
me balancer des trucs. Au scan j'ai rien trouvé en revanche...

Vala ce qui peu me balancer :

Virus or unwanted program 'DR/Agent.AV.1 [DR/Agent.AV.1]'
detected in file 'C:\System Volume Information\_restore{819C4BF5-5308-4867-A49B-69674F60FA29}\RP140\A0028529.dll.
Action performed: Allow access

did71 · Answer

re,

pas très important, une bébéte dans la restauration système, il faut la désactiver!

info ici:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

puis la réactiver et recréer un point de restauration système!

a+

Tycho · Answer

Voila c'est fait m'sieur =)
Bon a part çà, j'ai l'impression tout est propre Pas de pop up,
d'alertes autres ou de trucs étranges :o Ah, et j'ai plus de
popup web maintenant :p Bonne chose :)

Donc, un grand merci :) Ce n'est pas exagéré que de dire que
tu m'as sauvé d'un formatage :p :p
Donc rien de plus que merci milles fois de ton aide :) (je ferais
bien un paragraphe de 20 lignes pour exprimer ma gratitude,
mais je sais pas faire :p). 

Ah, et chapeau pour l'acharnement que tu mets sur nos problèmes :)

Merci ^^

did71 · Answer

re,

merci bien l'ami!

inscrit toi sur CommentCaMarche pour mettre ton sujet comme résolu!

puis:

Dénonce ton infection pour faire condamner les auteurs.


Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = VUNDO

---> https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)


Indique aussi le nom du Forum qui t'a aidé, CCM!

a+

Bon surf!

Tycho · Answer

C'est fait :)

TR/Dldr.ConHook.Gen

24 réponses

Discussions similaires

Newsletters