Sujet Précédent Sujet Suivant

Win32:Conhook-AW[trj]+ win32:Trojan-gen{UPX!}

Fermé
bbobb - 11 oct. 2007 à 20:57
 bbobb - 13 oct. 2007 à 01:31
Bonjour,
A voir également:

14 réponses

Réponse 1 / 14
bbobb
11 oct. 2007 à 20:59
Bonjour,
bonjour je voudrais savoir ki peu m'aider j'en peu plus de c virus
Logfile of HijackThis v1.99.1
Scan saved at 20:59:55, on 11/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\Isass.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\scan.exe.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://subscribe.free.fr/login/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A0C2CE0-23EA-4143-BF7F-2C7B32202424} - C:\WINDOWS\System32\geebc.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - C:\WINDOWS\system32\wvuvsrq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: FreeBot.lnk = C:\Program Files\FreeBot\freebot.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: wvuvsrq - C:\WINDOWS\SYSTEM32\wvuvsrq.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

merci de m'aider c URGENT!
0
Réponse 2 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
11 oct. 2007 à 21:03
dis donc,

si tu pouvais continuer sur le sujet que je traite, ça serait pas mal, je crois!

a+
0
bbobb
11 oct. 2007 à 21:06
Bonjour,
a salut je tattender vraiment ya ke toi ki m'aide a kel heure tu deco?
j'ai reposter car il son revenu m'assahir
0
Réponse 3 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
11 oct. 2007 à 21:08
re, poste le rapport demandé dans l'autre message!

merci

a+
0
bbobb
11 oct. 2007 à 21:15
Bonjour,
voila sa c le nouveau scan hisjack mais les virus son tjr la
Logfile of HijackThis v1.99.1
Scan saved at 21:13:21, on 11/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\Isass.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\scan.exe.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://subscribe.free.fr/login/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A0C2CE0-23EA-4143-BF7F-2C7B32202424} - C:\WINDOWS\System32\geebc.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {BACEB7AF-8D88-456E-82D0-7BEB9A4410FE} - C:\WINDOWS\system32\wvuvsrq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Look 'n' Stop] C:\Program Files\Soft4Ever\looknstop\looknstop.exe -auto
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: FreeBot.lnk = C:\Program Files\FreeBot\freebot.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: wvuvsrq - C:\WINDOWS\SYSTEM32\wvuvsrq.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

go pour suite!
0
Réponse 4 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
11 oct. 2007 à 21:23
re,

non, le nouveau rapport en ligne!

a+
0
bbobb
11 oct. 2007 à 21:30
Bonjour,
BitDefender Online Scanner



Rapport d'analyse généré à: Thu, Oct 11, 2007 - 19:18:48





Voie d'analyse: C:\;C:\Documents and Settings\bob\Bureau\SDFix;C:\Documents and Settings\bob\Bureau\téléchargement;







Statistiques

Temps
00:29:19

Fichiers
147874

Directoires
2609

Secteurs de boot
3

Archives
1060

Paquets programmes
11507




Résultats

Virus identifiés
2

Fichiers infectés
2

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
0




Info sur les moteurs

Définition virus
826226

Version des moteurs
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
7

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\WINDOWS\system32\logon.exe
Infecté par: DeepScan:Generic.Sdbot.81380F8A

C:\WINDOWS\system32\logon.exe
Echec de la désinfection

C:\WINDOWS\system32\logon.exe
Echec de la suppression

C:\WINDOWS\system32\winamp.exe
Infecté par: DeepScan:Generic.Sdbot.75617447

C:\WINDOWS\system32\winamp.exe
Echec de la désinfection

C:\WINDOWS\system32\winamp.exe
Echec de la suppression


mais je pense ki fo en faire un nouvo!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
11 oct. 2007 à 21:49
re,

non, non!

rends toi ici:

https://www.virustotal.com/gui/


et fais analyser les fichiers ci dessous:

C:\WINDOWS\system32\logon.exe
C:\WINDOWS\system32\winamp.exe

poste le rapport virus total ensuite!

a+
0
bbobb
11 oct. 2007 à 22:06
Bonjour,
pour logon.exe
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.12.0 2007.10.11 -
AntiVir 7.6.0.20 2007.10.11 HEUR/Crypted
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 Worm/Agobot.GBK
BitDefender 7.2 2007.10.11 DeepScan:Generic.Sdbot.81380F8A
CAT-QuickHeal 9.00 2007.10.11 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.11 BackDoor.IRC.Sdbot.945
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5203 2007.10.11 -
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.11 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 Generic.Sdbot
Kaspersky 7.0.0.125 2007.10.11 Heur.Trojan.Generic
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.11 Backdoor:Win32/Poebot.gen
NOD32v2 2586 2007.10.11 a variant of Win32/Poebot
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 Suspicious file
Prevx1 V2 2007.10.11 Heuristic: Suspicious Backdoor
Rising 19.44.32.00 2007.10.11 -
Sophos 4.22.0 2007.10.11 -
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.11 -
TheHacker 6.2.8.085 2007.10.11 -
VBA32 3.12.2.4 2007.10.11 -
VirusBuster 4.3.26:9 2007.10.11 Packed/FRBR
Webwasher-Gateway 6.0.1 2007.10.11 Heuristic.Crypted
Information additionnelle
File size: 38912 bytes
MD5: 7daca40b0d844225515dd97d014a1654
SHA1: 33c7844ea6894b15962e650768a2b891edfe4bd3
packers: Malware_Prot.J
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=99C4717C007382AE980700584F155C00C9682BF6


et pour l'autre
rien n'a été afficher
0
Réponse 6 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
11 oct. 2007 à 22:13
re,

1) tu as toujours OtMoveIt!

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.


C:\WINDOWS\system32\logon.exe
C:\WINDOWS\system32\winamp.exe


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.


2) Télécharge ComboFix (par sUBs) sur ton bureau:

http://www.techsupportforum.com/sectools/combofix.exe


Double clique combofix.exe et suis les invites

Poste le rapport

a+
0
bbobb
11 oct. 2007 à 22:36
Bonjour,
le rapport voilou!
ComboFix 07-10-12.1 - bob 2007-10-11 22:27:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.227 [GMT 2:00]
Running from: C:\Documents and Settings\bob\Bureau\t‚l‚chargement\combofix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awtqnkh.dll
C:\WINDOWS\system32\cbeeg.bak1
C:\WINDOWS\system32\cbeeg.bak1
C:\WINDOWS\system32\cbeeg.ini
C:\WINDOWS\system32\cbeeg.ini
C:\WINDOWS\system32\geebc.dll
C:\WINDOWS\system32\pqtwa.bak1
C:\WINDOWS\system32\pqtwa.bak1
C:\WINDOWS\system32\pqtwa.bak2
C:\WINDOWS\system32\pqtwa.bak2
C:\WINDOWS\system32\pqtwa.ini
C:\WINDOWS\system32\pqtwa.ini
C:\WINDOWS\system32\pqtwa.ini2
C:\WINDOWS\system32\pqtwa.ini2
C:\WINDOWS\system32\pqtwa.tmp
C:\WINDOWS\system32\pqtwa.tmp
C:\WINDOWS\system32\wmciduyv.dll
C:\WINDOWS\system32\yjpjempo.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-12 to 2007-10-12 ))))))))))))))))))))))))))))))))))))
.

2007-10-11 22:19 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-11 20:45 <REP> d-------- C:\VundoFix Backups
2007-10-11 20:19 34,304 --a------ C:\WINDOWS\system32\urqqnol.dll
2007-10-11 20:19 34,304 --a------ C:\WINDOWS\system32\byxyxyx.dll
2007-10-11 20:19 1,635 --a------ C:\WINDOWS\system32\ptzypk.exe
2007-10-11 20:19 1,635 --a------ C:\WINDOWS\system32\oohftubk.exe
2007-10-11 19:04 1,635 --a------ C:\WINDOWS\system32\fnmkbtv.exe
2007-10-11 17:59 34,304 --a------ C:\WINDOWS\system32\wvuvsrq.dll
2007-10-11 17:59 1,635 --a------ C:\WINDOWS\system32\cixqcudf.exe
2007-10-05 22:55 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-10-05 22:06 <REP> d-------- C:\Documents and Settings\bob\Application Data\Grisoft
2007-10-05 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-05 22:06 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-05 00:58 60,416 --a------ C:\WINDOWS\system32\drivers\kfuuoipp.sys
2007-10-05 00:58 1,080 --a------ C:\jhspfles.bat
2007-10-04 18:52 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-04 18:50 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-04 18:50 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-04 18:50 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-04 18:50 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-04 18:50 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-04 18:50 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2007-10-04 18:50 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-10-04 18:46 1,635 --a------ C:\WINDOWS\system32\wnrjyi.exe
2007-10-04 18:46 1,635 --a------ C:\WINDOWS\system32\naceajh.exe
2007-10-04 18:20 1,635 --a------ C:\WINDOWS\system32\ysar.exe
2007-10-04 18:20 1,635 --a------ C:\WINDOWS\system32\qfiqbk.exe
2007-10-04 18:16 1,635 --a------ C:\WINDOWS\system32\nkebogt.exe
2007-10-04 18:16 1,635 --a------ C:\WINDOWS\system32\nffw.exe
2007-10-04 18:08 120 --a------ C:\WINDOWS\system32\daqp.bat
2007-10-04 18:04 127 --a------ C:\WINDOWS\system32\ucumg.bat
2007-10-04 17:58 1,635 --a------ C:\WINDOWS\system32\woas.exe
2007-10-04 17:58 1,635 --a------ C:\WINDOWS\system32\qewwh.exe
2007-10-04 17:22 1,635 --a------ C:\WINDOWS\system32\yebp.exe
2007-10-04 17:22 1,635 --a------ C:\WINDOWS\system32\rrqlolu.exe
2007-10-04 17:22 1,635 --a------ C:\WINDOWS\system32\ndyhba.exe
2007-10-04 17:17 1,635 --a------ C:\WINDOWS\system32\wvljxqah.exe
2007-10-04 17:17 1,635 --a------ C:\WINDOWS\system32\oxpen.exe
2007-10-04 17:16 1,635 --a------ C:\WINDOWS\system32\vacaxz.exe
2007-10-03 21:46 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-10-03 21:33 1,635 --a------ C:\WINDOWS\system32\vxzobf.exe
2007-10-03 21:33 1,635 --a------ C:\WINDOWS\system32\pfcgdxut.exe
2007-10-03 21:33 1,635 --a------ C:\WINDOWS\system32\effdpwdq.exe
2007-10-03 21:12 1,635 --a------ C:\WINDOWS\system32\ixorz.exe
2007-10-03 21:12 1,635 --a------ C:\WINDOWS\system32\grzqxcsg.exe
2007-10-03 21:12 125 --a------ C:\WINDOWS\system32\oypzfi.bat
2007-10-03 21:11 1,635 --a------ C:\WINDOWS\system32\aicbyyy.exe
2007-10-03 20:50 1,635 --a------ C:\WINDOWS\system32\zkscadif.exe
2007-10-03 20:50 1,635 --a------ C:\WINDOWS\system32\fzmbuzbn.exe
2007-10-03 20:50 1,635 --a------ C:\WINDOWS\system32\flfeb.exe
2007-10-03 20:18 1,635 --a------ C:\WINDOWS\system32\pfqpn.exe
2007-10-03 20:18 1,635 --a------ C:\WINDOWS\system32\hjwrbxi.exe
2007-10-03 20:18 1,635 --a------ C:\WINDOWS\system32\grqox.exe
2007-10-03 18:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-10-03 16:45 1,635 --a------ C:\WINDOWS\system32\yuoqulj.exe
2007-10-03 16:12 1,635 --a------ C:\WINDOWS\system32\xatiwo.exe
2007-10-03 16:12 1,635 --a------ C:\WINDOWS\system32\kyakgty.exe
2007-09-30 14:47 <REP> d-------- C:\Program Files\VideoLAN
2007-09-30 14:24 <REP> d-------- C:\films
2007-09-30 00:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\CyberLink
2007-09-30 00:04 <REP> d-------- C:\Program Files\CyberLink
2007-09-21 18:29 79,679 --a------ C:\WINDOWS\system32\E_FLMADE.DLL
2007-09-21 18:29 64,000 --a------ C:\WINDOWS\system32\E_FBCBADE.DLL
2007-09-21 18:29 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2007-09-21 18:29 34,304 --a------ C:\WINDOWS\system32\E_FBCHADE.DLL
2007-09-21 18:27 <REP> d-------- C:\Program Files\Epson
2007-09-19 21:28 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-09-19 21:28 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2007-09-19 21:28 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-09-19 21:28 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-11 19:13 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-10-10 16:21 --------- d-----w C:\Documents and Settings\bob\Application Data\teamspeak2
2007-10-08 22:38 196,608 ----a-w C:\WINDOWS\system32\drivers\aStandard.bin
2007-09-29 22:04 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-16 09:51 --------- d-----w C:\Program Files\WowCartographe
2007-09-06 19:51 --------- d-----w C:\Program Files\Windows Messaging
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-04 14:22 --------- d-----w C:\Program Files\Zylom Games
2007-09-02 10:50 --------- d-----w C:\Documents and Settings\bob\Application Data\Zylom
2007-09-02 10:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\JollyBear
2007-08-31 22:03 --------- d-----w C:\Documents and Settings\bob\Application Data\ATI
2007-08-31 21:58 --------- d-----w C:\Program Files\ATI Technologies
2007-08-31 21:57 --------- d-----w C:\Program Files\Fichiers communs\ATI Technologies
2007-08-29 16:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\NVIDIA
2007-08-29 16:06 --------- d-----w C:\Program Files\My Company Name
2007-08-29 15:58 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-08-22 12:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1A0C2CE0-23EA-4143-BF7F-2C7B32202424}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}]
2007-10-11 17:59 34304 --a------ C:\WINDOWS\system32\wvuvsrq.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"Look 'n' Stop"="C:\Program Files\Soft4Ever\looknstop\looknstop.exe" [2007-06-22 23:20]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 06:00]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:45]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}"= C:\WINDOWS\system32\wvuvsrq.dll [2007-10-11 17:59 34304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvuvsrq]
wvuvsrq.dll 2007-10-11 17:59 34304 C:\WINDOWS\system32\wvuvsrq.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\geebc.dll

R3 Video3D;ASUS Video3D Service;C:\WINDOWS\System32\Drivers\Video3D32.sys
R4 atidgllk;atidgllk;\??\C:\WINDOWS\atidgllk.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\F:\NTGLM7X.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-12 22:32:10
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-12 22:33:58 - machine was rebooted
.
--- E O F ---




+C:\WINDOWS\system32\logon.exe moved successfully.


Created on 10/11/2007 22:22:59
C:\WINDOWS\system32\winamp.exe moved successfully.


Created on 10/11/2007 22:23:26
0
Réponse 7 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
11 oct. 2007 à 22:47
re,

tu la traîne depuis longtemps l'infection!!!

je vais te demander encore du boulot avant de supprimer le reste!

sur virus total, fais analyser:

C:\WINDOWS\system32\qfiqbk.exe
C:\WINDOWS\system32\effdpwdq.exe
C:\WINDOWS\system32\drivers\mouhid.sys
C:\WINDOWS\system32\drivers\hidusb.sys

a+
0
bbobb
11 oct. 2007 à 23:25
Bonjour,
et d'un
Fichier qfiqbk.exe_ reçu le 2007.10.11 23:15:53 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 48 et 68 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.12.0 2007.10.11 -
AntiVir 7.6.0.20 2007.10.11 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 -
BitDefender 7.2 2007.10.11 -
CAT-QuickHeal 9.00 2007.10.11 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.11 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5203 2007.10.11 -
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.11 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 -
Kaspersky 7.0.0.125 2007.10.11 -
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.11 -
NOD32v2 2586 2007.10.11 -
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 -
Prevx1 V2 2007.10.11 -
Rising 19.44.32.00 2007.10.11 -
Sophos 4.22.0 2007.10.11 -
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.11 -
TheHacker 6.2.8.086 2007.10.11 -
VBA32 3.12.2.4 2007.10.11 -
VirusBuster 4.3.26:9 2007.10.11 -
Webwasher-Gateway 6.0.1 2007.10.11 -
Information additionnelle
File size: 1635 bytes
MD5: 23d6b92bc7eb100fc1294e6b124b7e75
SHA1: f0649f9495d1f566a3f690002050b87800b4bce2
0
bbobb
11 oct. 2007 à 23:32
Bonjour,
et de 2
Fichier effdpwdq.exe_ reçu le 2007.10.11 23:25:57 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.12.0 2007.10.11 -
AntiVir 7.6.0.20 2007.10.11 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 -
BitDefender 7.2 2007.10.11 -
CAT-QuickHeal 9.00 2007.10.11 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.11 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5203 2007.10.11 -
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.11 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 -
Kaspersky 7.0.0.125 2007.10.11 -
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.11 -
NOD32v2 2586 2007.10.11 -
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 -
Prevx1 V2 2007.10.11 -
Rising 19.44.32.00 2007.10.11 -
Sophos 4.22.0 2007.10.11 -
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.11 -
TheHacker 6.2.8.086 2007.10.11 -
VBA32 3.12.2.4 2007.10.11 -
VirusBuster 4.3.26:9 2007.10.11 -
Webwasher-Gateway 6.0.1 2007.10.11 -
Information additionnelle
File size: 1635 bytes
MD5: 23d6b92bc7eb100fc1294e6b124b7e75
SHA1: f0649f9495d1f566a3f690002050b87800b4bce2
0
bbobb
11 oct. 2007 à 23:39
Bonjour,
et de 3
Fichier mouhid.sys reçu le 2007.10.11 23:32:58 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.12.0 2007.10.11 -
AntiVir 7.6.0.20 2007.10.11 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 -
BitDefender 7.2 2007.10.11 -
CAT-QuickHeal 9.00 2007.10.11 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.11 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5203 2007.10.11 -
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.11 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 -
Kaspersky 7.0.0.125 2007.10.11 -
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.11 -
NOD32v2 2586 2007.10.11 -
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 -
Prevx1 V2 2007.10.11 -
Rising 19.44.32.00 2007.10.11 -
Sophos 4.22.0 2007.10.11 -
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.11 -
TheHacker 6.2.8.086 2007.10.11 -
VBA32 3.12.2.4 2007.10.11 -
VirusBuster 4.3.26:9 2007.10.11 -
Webwasher-Gateway 6.0.1 2007.10.11 -
Information additionnelle
File size: 12288 bytes
MD5: 124d6846040c79b9c997f78ef4b2a4e5
SHA1: 3a884d017364640b5ea22af4e063448d2389531b
0
bbobb
11 oct. 2007 à 23:49
Bonjour,
et de 4 c la fin ouf c t long
Fichier hidusb.sys reçu le 2007.10.11 23:40:24 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.12.0 2007.10.11 -
AntiVir 7.6.0.20 2007.10.11 -
Authentium 4.93.8 2007.10.09 -
Avast 4.7.1051.0 2007.10.11 -
AVG 7.5.0.488 2007.10.11 -
BitDefender 7.2 2007.10.11 -
CAT-QuickHeal 9.00 2007.10.11 -
ClamAV 0.91.2 2007.10.11 -
DrWeb 4.44.0.09170 2007.10.11 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5203 2007.10.11 -
Ewido 4.0 2007.10.11 -
FileAdvisor 1 2007.10.11 -
Fortinet 3.11.0.0 2007.10.11 -
F-Prot 4.3.2.48 2007.10.11 -
F-Secure 6.70.13030.0 2007.10.11 -
Ikarus T3.1.1.12 2007.10.11 -
Kaspersky 7.0.0.125 2007.10.11 -
McAfee 5139 2007.10.11 -
Microsoft 1.2908 2007.10.11 -
NOD32v2 2586 2007.10.11 -
Norman 5.80.02 2007.10.11 -
Panda 9.0.0.4 2007.10.11 -
Prevx1 V2 2007.10.11 -
Rising 19.44.32.00 2007.10.11 -
Sophos 4.22.0 2007.10.11 -
Sunbelt 2.2.907.0 2007.10.11 -
Symantec 10 2007.10.11 -
TheHacker 6.2.8.086 2007.10.11 -
VBA32 3.12.2.4 2007.10.11 -
VirusBuster 4.3.26:9 2007.10.11 -
Webwasher-Gateway 6.0.1 2007.10.11 -
Information additionnelle
File size: 9600 bytes
MD5: 1de6783b918f540149aa69943bdfeba8
SHA1: 2d889498f5dcb5e68fb50f9301b627620b24935d
go pur la suite
0
Réponse 8 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
11 oct. 2007 à 23:44
re,

avec OtMoveIt!

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.


C:\WINDOWS\system32\urqqnol.dll
C:\WINDOWS\system32\byxyxyx.dll
C:\WINDOWS\system32\ptzypk.exe
C:\WINDOWS\system32\oohftubk.exe
C:\WINDOWS\system32\fnmkbtv.exe
C:\WINDOWS\system32\wvuvsrq.dll
C:\WINDOWS\system32\cixqcudf.exe


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

puis reposte un nouvel combofix!

a+
0
bbobb
12 oct. 2007 à 00:57
Bonjour,
File/Folder C:\WINDOWS\system32\urqqnol.dll
C:\WINDOWS\system32\byxyxyx.dll
C:\WINDOWS\system32\ptzypk.exe
C:\WINDOWS\system32\oohftubk.exe
C:\WINDOWS\system32\fnmkbtv.exe
C:\WINDOWS\system32\wvuvsrq.dll
C:\WINDOWS\system32\cixqcudf.exe not found.


Created on 10/13/2007 00:56:22
0
bbobb
12 oct. 2007 à 01:06
Bonjour,
rapport combo
ComboFix 07-10-12.1 - bob 2007-10-13 0:59:06.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.334 [GMT 2:00]
Running from: C:\Documents and Settings\bob\Bureau\t‚l‚chargement\combofix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ihhkj.bak1
C:\WINDOWS\system32\ihhkj.bak1
C:\WINDOWS\system32\ihhkj.ini
C:\WINDOWS\system32\ihhkj.ini
C:\WINDOWS\system32\jkhhi.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-12 to 2007-10-12 ))))))))))))))))))))))))))))))))))))
.

2007-10-13 01:03 38,912 --ah----- C:\WINDOWS\system32\ryari.exe
2007-10-11 22:19 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-11 20:45 <REP> d-------- C:\VundoFix Backups
2007-10-11 20:19 34,304 --a------ C:\WINDOWS\system32\urqqnol.dll
2007-10-11 20:19 34,304 --a------ C:\WINDOWS\system32\byxyxyx.dll
2007-10-11 20:19 1,635 --a------ C:\WINDOWS\system32\ptzypk.exe
2007-10-11 20:19 1,635 --a------ C:\WINDOWS\system32\oohftubk.exe
2007-10-11 19:04 1,635 --a------ C:\WINDOWS\system32\fnmkbtv.exe
2007-10-11 17:59 34,304 --a------ C:\WINDOWS\system32\wvuvsrq.dll
2007-10-11 17:59 1,635 --a------ C:\WINDOWS\system32\cixqcudf.exe
2007-10-05 22:55 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-10-05 22:06 <REP> d-------- C:\Documents and Settings\bob\Application Data\Grisoft
2007-10-05 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-10-05 22:06 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-05 00:58 60,416 --a------ C:\WINDOWS\system32\drivers\kfuuoipp.sys
2007-10-05 00:58 1,080 --a------ C:\jhspfles.bat
2007-10-04 18:52 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-04 18:50 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2007-10-04 18:50 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-10-04 18:50 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2007-10-04 18:50 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-10-04 18:50 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2007-10-04 18:50 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2007-10-04 18:50 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-10-04 18:46 1,635 --a------ C:\WINDOWS\system32\wnrjyi.exe
2007-10-04 18:46 1,635 --a------ C:\WINDOWS\system32\naceajh.exe
2007-10-04 18:20 1,635 --a------ C:\WINDOWS\system32\ysar.exe
2007-10-04 18:20 1,635 --a------ C:\WINDOWS\system32\qfiqbk.exe
2007-10-04 18:16 1,635 --a------ C:\WINDOWS\system32\nkebogt.exe
2007-10-04 18:16 1,635 --a------ C:\WINDOWS\system32\nffw.exe
2007-10-04 18:08 120 --a------ C:\WINDOWS\system32\daqp.bat
2007-10-04 18:04 127 --a------ C:\WINDOWS\system32\ucumg.bat
2007-10-04 17:58 1,635 --a------ C:\WINDOWS\system32\woas.exe
2007-10-04 17:58 1,635 --a------ C:\WINDOWS\system32\qewwh.exe
2007-10-04 17:22 1,635 --a------ C:\WINDOWS\system32\yebp.exe
2007-10-04 17:22 1,635 --a------ C:\WINDOWS\system32\rrqlolu.exe
2007-10-04 17:22 1,635 --a------ C:\WINDOWS\system32\ndyhba.exe
2007-10-04 17:17 1,635 --a------ C:\WINDOWS\system32\wvljxqah.exe
2007-10-04 17:17 1,635 --a------ C:\WINDOWS\system32\oxpen.exe
2007-10-04 17:16 1,635 --a------ C:\WINDOWS\system32\vacaxz.exe
2007-10-03 21:46 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-10-03 21:33 1,635 --a------ C:\WINDOWS\system32\vxzobf.exe
2007-10-03 21:33 1,635 --a------ C:\WINDOWS\system32\pfcgdxut.exe
2007-10-03 21:33 1,635 --a------ C:\WINDOWS\system32\effdpwdq.exe
2007-10-03 21:12 1,635 --a------ C:\WINDOWS\system32\ixorz.exe
2007-10-03 21:12 1,635 --a------ C:\WINDOWS\system32\grzqxcsg.exe
2007-10-03 21:12 125 --a------ C:\WINDOWS\system32\oypzfi.bat
2007-10-03 21:11 1,635 --a------ C:\WINDOWS\system32\aicbyyy.exe
2007-10-03 20:50 1,635 --a------ C:\WINDOWS\system32\zkscadif.exe
2007-10-03 20:50 1,635 --a------ C:\WINDOWS\system32\fzmbuzbn.exe
2007-10-03 20:50 1,635 --a------ C:\WINDOWS\system32\flfeb.exe
2007-10-03 20:18 1,635 --a------ C:\WINDOWS\system32\pfqpn.exe
2007-10-03 20:18 1,635 --a------ C:\WINDOWS\system32\hjwrbxi.exe
2007-10-03 20:18 1,635 --a------ C:\WINDOWS\system32\grqox.exe
2007-10-03 18:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-10-03 16:45 1,635 --a------ C:\WINDOWS\system32\yuoqulj.exe
2007-10-03 16:12 1,635 --a------ C:\WINDOWS\system32\xatiwo.exe
2007-10-03 16:12 1,635 --a------ C:\WINDOWS\system32\kyakgty.exe
2007-09-30 14:47 <REP> d-------- C:\Program Files\VideoLAN
2007-09-30 14:24 <REP> d-------- C:\films
2007-09-30 00:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\CyberLink
2007-09-30 00:04 <REP> d-------- C:\Program Files\CyberLink
2007-09-21 18:29 79,679 --a------ C:\WINDOWS\system32\E_FLMADE.DLL
2007-09-21 18:29 64,000 --a------ C:\WINDOWS\system32\E_FBCBADE.DLL
2007-09-21 18:29 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2007-09-21 18:29 34,304 --a------ C:\WINDOWS\system32\E_FBCHADE.DLL
2007-09-21 18:27 <REP> d-------- C:\Program Files\Epson
2007-09-19 21:28 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-09-19 21:28 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2007-09-19 21:28 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-09-19 21:28 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-11 19:13 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-10-10 16:21 --------- d-----w C:\Documents and Settings\bob\Application Data\teamspeak2
2007-10-08 22:38 196,608 ----a-w C:\WINDOWS\system32\drivers\aStandard.bin
2007-09-29 22:04 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-16 09:51 --------- d-----w C:\Program Files\WowCartographe
2007-09-06 19:51 --------- d-----w C:\Program Files\Windows Messaging
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-04 14:22 --------- d-----w C:\Program Files\Zylom Games
2007-09-02 10:50 --------- d-----w C:\Documents and Settings\bob\Application Data\Zylom
2007-09-02 10:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\JollyBear
2007-08-31 22:03 --------- d-----w C:\Documents and Settings\bob\Application Data\ATI
2007-08-31 21:58 --------- d-----w C:\Program Files\ATI Technologies
2007-08-31 21:57 --------- d-----w C:\Program Files\Fichiers communs\ATI Technologies
2007-08-29 16:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\NVIDIA
2007-08-29 16:06 --------- d-----w C:\Program Files\My Company Name
2007-08-29 15:58 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-08-22 12:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
.

((((((((((((((((((((((((((((( snapshot@2007-10-12_22.33.08.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-10-12 23:02:42 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_78c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}]
2007-10-11 17:59 34304 --a------ C:\WINDOWS\system32\wvuvsrq.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"Look 'n' Stop"="C:\Program Files\Soft4Ever\looknstop\looknstop.exe" [2007-06-22 23:20]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 06:00]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:45]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}"= C:\WINDOWS\system32\wvuvsrq.dll [2007-10-11 17:59 34304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvuvsrq]
wvuvsrq.dll 2007-10-11 17:59 34304 C:\WINDOWS\system32\wvuvsrq.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\jkhhi.dll

R3 Video3D;ASUS Video3D Service;C:\WINDOWS\System32\Drivers\Video3D32.sys
R4 atidgllk;atidgllk;\??\C:\WINDOWS\atidgllk.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\F:\NTGLM7X.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-13 01:03:41
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-13 1:05:34 - machine was rebooted
C:\ComboFix2.txt ... 2007-10-12 22:33
.
--- E O F ---
0
Réponse 9 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
12 oct. 2007 à 20:28
bonsoir,

il y a toujours quelque chose qui me travaille dans combofix,

Télécharge Avira AntiRootkit Tool et dézippe-le sur ton bureau:

http://dl.antivir.de/down/windows/antivir_rootkit.zip

Ouvre le dossier antivir_rootkit créé, double-clique sur le fichier setup.exe, et suis les instructions d'installation du programme. Lorsque c'est terminé, lance l'outil par le menu démarrer / tous les programmes / Avira RootKit Detection / Avira RootKit Detection.
Vérifie que les cases "Scan files", "Scan registry", "Scan processes", "Scan all drives" et "Show progress" soient bien cochées. Clique à présent sur "Start scan" et patiente.
Lorsque le scan est terminé, clique sur "View report" et dans ta prochaine réponse, poste le contenu du rapport qui s'est ouvert.

a+
0
bbobb
12 oct. 2007 à 20:48
Bonjour,
re merci de continuer a m'aider reste tard plzz je ve les virer c satanée virus!
Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started samedi 13 octobre 2007 - 20:45:39
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 58.59 GB
- Working disk free size : 36.06 GB (61 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/33300
Registry items: 0/210737
Processes: 0/35
Scan time: 00:02:35
--------------------------------------------------------------------------------------------------------
Active processes:
- zexqpsna.exe (PID 452) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 780)
- csrss.exe (PID 828)
- winlogon.exe (PID 860)
- services.exe (PID 904)
- lsass.exe (PID 916)
- ati2evxx.exe (PID 1112)
- svchost.exe (PID 1140)
- svchost.exe (PID 1288)
- svchost.exe (PID 1616)
- svchost.exe (PID 1708)
- aswUpdSv.exe (PID 1888)
- ashServ.exe (PID 1936)
- spoolsv.exe (PID 692)
- alg.exe (PID 1192)
- ATKKBService.exe (PID 1400)
- guard.exe (PID 1432)
- ashMaiSv.exe (PID 1468)
- ashWebSv.exe (PID 1860)
- ati2evxx.exe (PID 3320)
- explorer.exe (PID 3360)
- ashDisp.exe (PID 3504)
- looknstop.exe (PID 676)
- CLI.exe (PID 1052)
- E_FATIADE.EXE (PID 1100)
- avgas.exe (PID 3640)
- ctfmon.exe (PID 3724)
- msnmsgr.exe (PID 3888)
- TeaTimer.exe (PID 3960)
- OSA.EXE (PID 4024)
- CLI.exe (PID 4048)
- CLI.exe (PID 4068)
- IEXPLORE.EXE (PID 2604)
- avirarkd.exe (PID 168)
========================================================================================================
- Scan finished samedi 13 octobre 2007 - 20:48:14
========================================================================================================
0
Réponse 10 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
12 oct. 2007 à 21:16
re,

1)Télécharge Brute Force Uninstaller (de Merijn):


http://www.merijn.org/files/bfu.zip


Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

2) Ouvre le Bloc-note et copie-colle les lignes en gras ci-dessous :

RegDeleteKey HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\wvuvsrq
RegDelValue HKLM\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}
RegDelValue HKLM\system\currentcontrolset\control\lsa|Authentication Packages

FileDelete %SYSDIR%\urqqnol.dll
FileDelete %SYSDIR%\byxyxyx.dll
FileDelete %SYSDIR%\ptzypk.exe
FileDelete %SYSDIR%\oohftubk.exe
FileDelete %SYSDIR%\fnmkbtv.exe
FileDelete %SYSDIR%\wvuvsrq.dll
FileDelete %SYSDIR%\cixqcudf.exe
FileDelete %SYSDIR%\wnrjyi.exe
FileDelete %SYSDIR%\naceajh.exe
FileDelete %SYSDIR%\ysar.exe
FileDelete %SYSDIR%\qfiqbk.exe
FileDelete %SYSDIR%\nkebogt.exe
FileDelete %SYSDIR%\nffw.exe
FileDelete %SYSDIR%\woas.exe
FileDelete %SYSDIR%\qewwh.exe
FileDelete %SYSDIR%\yebp.exe
FileDelete %SYSDIR%\rrqlolu.exe
FileDelete %SYSDIR%\ndyhba.exe
FileDelete %SYSDIR%\wvljxqah.exe
FileDelete %SYSDIR%\oxpen.exe
FileDelete %SYSDIR%\vacaxz.exe
FileDelete %SYSDIR%\vxzobf.exe
FileDelete %SYSDIR%\pfcgdxut.exe
FileDelete %SYSDIR%\effdpwdq.exe
FileDelete %SYSDIR%\ixorz.exe
FileDelete %SYSDIR%\grzqxcsg.exe
FileDelete %SYSDIR%\oypzfi.bat
FileDelete %SYSDIR%\aicbyyy.exe
FileDelete %SYSDIR%\zkscadif.exe
FileDelete %SYSDIR%\fzmbuzbn.exe
FileDelete %SYSDIR%\flfeb.exe
FileDelete %SYSDIR%\pfqpn.exe
FileDelete %SYSDIR%\hjwrbxi.exe
FileDelete %SYSDIR%\grqox.exe
FileDelete %SYSDIR%\mddjaffccc_nav.dat
FileDelete %SYSDIR%\mddjaffccc.dat
FileDelete %SYSDIR%\mddjaffccc.exe
FileDelete %SYSDIR%\yuoqulj.exe
FileDelete %SYSDIR%\xatiwo.exe
FileDelete %SYSDIR%\kyakgty.exe
SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu " -sans inclure les guillemets- ; Type : Tous les fichiers).

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Fixme.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Redémarre normalement.

Poste le rapport situé ici
C:\egd.txt avec un nouveau HijackThis.


a+
0
Réponse 11 / 14
moe
12 oct. 2007 à 21:51
Salut Did71, bbobb


Juste pour suivre en passant, curieux de savoir comment s'est passé la phase de reboot et login après passage du bfu.

a+ 


________________________________________________________________________________
Know your enemy...
0
Réponse 12 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
12 oct. 2007 à 22:02
Salut moe,

J'ai fais une erreur dans le BFU???

a+
0
Réponse 13 / 14
moe
12 oct. 2007 à 22:55
Salut Did71

Ca dépend, faudra voir comment bbobb à trouvé sa séquence de boot et s'il a pu se loguer normalement sur son compte habituel (ou sur un autre).

La valeur 'Authentication Packages' est légitime sous cette forme:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=msv1_0

Mais apparement modifié par vundo comme ceci en rajoutant le chemin de sa dll:
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\jkhhi.dll

Jusque là, tout à fait d'accord avec toi sur l'interprétation de combofix.

Là ou j'ai plus qu'un doute si tu veux mon avis, c'est sur cette commande du bfu :
RegDelValue HKLM\system\currentcontrolset\control\lsa|Authentication Packages
C'est pour çà que je vais suivre avec attention la prochaine réponse de bbobb pour affirmer ou infirmer ce qui suit:

En VM après passage du bfu çà a provoqué au reboot une impossibilité de se loguer sur mon compte.
Sur un simple compte admin sans mot de passe, l'effet de la supression de cette valeur dans le registre aura été par exemple de me demander subitement un mot de passe et d'empécher donc l'accès au compte...
Même topo en mode sans échec.
Soucis d'autentification donc, qui n'a pu se résoudre pour ma part que par un reboot, touche F8 et dernière bonne configuration connue dans les options pour pouvoir ensuite ouvrir ce compte normalement.

Si tu veux une comparaison c'est un peu le même principe pour le nettoyage qu'une F2 dans hijackthis.
Soit tu supprimes "Authentication Packages" et tu recrées dans la foulée la valeur "Authentication Packages" avec les bons paramètres, ou alors tu fais supprimer dans le registre, juste "C:\WINDOWS\System32\jkhhi.dll" sans toucher à msv1_0 qui est légitime.
Dans le cas du bfu c'est "Authentication Packages" qui gicle sans recréer ensuite la valeur clean.

Pour être franc je n'ai pas eu le temps de tester sur un compte avec mot de passe ou multi-utilisateur si les effets sont les mêmes et donc à défaut d'être totalement affirmatif en ce qui concerne ta question, je suis tout simplement curieux de la prochaine réponse de bbobb.

a+
0
Réponse 14 / 14
did71 Messages postés 2187 Date d'inscription vendredi 24 mars 2006 Statut Contributeur sécurité Dernière intervention 30 janvier 2010 36
12 oct. 2007 à 23:32
re moe,

merci pour la précision, j'ai, peut être, commis une boulette!

je n'avais pas pensé à ça!

je vais attendre la réponse de bob en croisant les doigts, je m'en voudrais d'avoir planté un pc!

a+
0
bbobb
13 oct. 2007 à 01:31
Bonjour,
pour info mon ami j'ai péter un boulard j'ai prix au grand mots les grand remêde g formatater la partition window et j'ai tout remis
voilou se ke sa ma coûter c satanée virus ki pourrisse la vie!!!!
merci a vous les ami je tacherai de faire gaffe me fo un anti spam costo et gratis!!!!
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
win32 bogent [susp]
hidalgo -
papajohn -

36 réponses