bureau instable suite a virtumondeRésolu/Fermé

Question

Bonjour,
alors voila, nod32 identifie depuis quelques jours la presence d'une variante de virtumonde. 
mon problème ?a part nod32, rien ne le voit:  Hijackthis ne le vois pas, spybot, vundofix et les autres non plus, meme en mode sans echec. mais meme apres utiliser vundofix, fixvundo, virtumundobegone, nod 32 me dit qu'il est la (derniere fois :03/12/2007 00:24:14	http://82.98.235.78/gg/ggdll.dll?uid=4E8156589BE411DCBD9AF68474EEFFFF&guid=51D4D7C7849F41EBBFC84978E09CA094crc=0	une variante de Win32/Adware.Virtumonde application)
le gros problème, c(est que maintenant le bureau est tres instable, et disparit regulierement. la plupart du temps il reapparait au bout de quelques minutes, mais pas tout le temps. Dans ce cas, je suis donc oblige de redemarrer manuellement l'ordi.
la disparition du bureau sans sa reapparition m'est aussi arrivé en mode sans echec quand je faisait un scan nod32.

henrythecat · Answer

fait un scan minutieux avec avast

philae83 · Answer

bonsoir,

je ne pense pas que un scan minutieux avec avast résolve le problème.

dans un premier temps fait ceci :

* Télécharge  HijackThis  et poste le rapport stp
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

* Lance un scan "do a system scan & save a logfile" puis copie colle le rapport généré ici

------

Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image (merci balltrap)
demo hijackenregistrement http://perso.orange.fr/rginformatique/section%20virus/Hijenr.gif
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

felisbliss · Answer

merci pour la réponse rapide :) 

voila le hijackthis (avec hijackthis.exe rebaaptisé "scanner.exe" au cas ou) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:10, on 03/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Executive Software\Diskeeper\DfrgNTFS.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16528F50-2801-47A2-ADB8-62CADAC4D813} - C:\WINDOWS\system32\cabine.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {940FE0AA-259C-4BA5-983F-0FF9EDB14C27} - C:\WINDOWS\system32\pmnnm.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

felisbliss · Answer

ah oui au fait, j'ai aussi realisé une defrag avec Diskeeper  Executive Software International, Inc.Version : 9.0.504.0
Il me reste 13% d'espace libre,mais  surtout c'est la premiere fois que lors d'une analyse de defrag j'ai de petits batons roses sur le tableau, c'est a dire plein de "low performing system files", alors que jusqu'a maintenant j'avais des blocs compact verts (espace reservé systeme)

philae83 · Answer

bonsoir,

il faut encore continuer

* Télécharge VirtumundoBeGone  sur ton bureau .
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
* double-clic sur VirtumundoBeGone.exe
* Suis les instructions à l'écran
* Quand le scan est terminé, enregistre le rapport.
* Copie/Colle le ici

et

* Télécharge VundoFix.exe (par Atribune) sur ton Bureau

http://www.atribune.org/ccount/click.php?id=4

 * Double-clique VundoFix.exe afin de le lancer

* Clique sur le bouton Scan for Vundo

* Lorsque le scan est complété, clique sur le bouton Remove Vundo

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers

* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

 
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

felisbliss · Answer

ALORS VOILA LE RAPPORT VUNDOFIX :

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:12:32 29/11/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:24:12 01/12/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:43:45 01/12/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.7.0

Checking Java version...

Java version is 1.5.0.10

Scan started at 21:59:20 03/12/2007

Listing files found while scanning....

C:\windows\system32\cbxwwuv.dll

Beginning removal...

 Attempting to delete C:\windows\system32\cbxwwuv.dll
C:\windows\system32\cbxwwuv.dll Has been deleted!

Performing Repairs to the registry.
Done!






HIJACKTHIS RAPPORT :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:19:17, on 03/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16528F50-2801-47A2-ADB8-62CADAC4D813} - C:\WINDOWS\system32\cabine.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CB9336B-8A6F-4ABC-BF83-B013BA5FBBF3} - C:\WINDOWS\system32\pmnnm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

philae83 · Answer

re

il manque le rapport de virtumonebegone
poste le stp
merci

felisbliss · Answer

desolée de l'oubli ...
par contre depuis que j'ai fait tout ca (donc vundofix etc.), le bureau a de nouveau sauté :'(



[12/03/2007, 21:58:20] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Felis\Bureau\VirtumundoBeGone.exe" )
[12/03/2007, 21:58:25] - Detected System Information:
[12/03/2007, 21:58:25] -  Windows Version: 5.1.2600, Service Pack 2
[12/03/2007, 21:58:25] -  Current Username: Felis (Admin)
[12/03/2007, 21:58:25] -  Windows is in NORMAL mode.
[12/03/2007, 21:58:25] - Searching for Browser Helper Objects:
[12/03/2007, 21:58:25] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/03/2007, 21:58:25] -  BHO 2: {16528F50-2801-47A2-ADB8-62CADAC4D813} ()
[12/03/2007, 21:58:25] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/03/2007, 21:58:25] -  Checking for HKLM\...\Winlogon\Notify\cabine
[12/03/2007, 21:58:25] -  Key not found: HKLM\...\Winlogon\Notify\cabine, continuing.
[12/03/2007, 21:58:25] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/03/2007, 21:58:25] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/03/2007, 21:58:25] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/03/2007, 21:58:25] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/03/2007, 21:58:25] -  No filename found. Continuing.
[12/03/2007, 21:58:25] -  BHO 6: {940FE0AA-259C-4BA5-983F-0FF9EDB14C27} ()
[12/03/2007, 21:58:25] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/03/2007, 21:58:25] -  Checking for HKLM\...\Winlogon\Notify\pmnnm
[12/03/2007, 21:58:25] -  Key not found: HKLM\...\Winlogon\Notify\pmnnm, continuing.
[12/03/2007, 21:58:25] - Finished Searching Browser Helper Objects
[12/03/2007, 21:58:25] - Finishing up...
[12/03/2007, 21:58:25] - Nothing found! Exiting...

philae83 · Answer

reposte un nouveau rapport hijackthis maintenant stp

felisbliss · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:53, on 03/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Executive Software\Diskeeper\DfrgNTFS.exe
C:\Program Files\Executive Software\Diskeeper\DkIcon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16528F50-2801-47A2-ADB8-62CADAC4D813} - C:\WINDOWS\system32\cabine.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5CB9336B-8A6F-4ABC-BF83-B013BA5FBBF3} - C:\WINDOWS\system32\pmnnm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

philae83 · Answer

re

* IMPORTANT /
désactive le résident de spybot stp.

PUIS

* lance hijackthis "do a system scan only" puis coche ces lignes :

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 
O2 - BHO: (no name) - {16528F50-2801-47A2-ADB8-62CADAC4D813} - C:\WINDOWS\system32\cabine.dll (file missing) 
O2 - BHO: (no name) - {5CB9336B-8A6F-4ABC-BF83-B013BA5FBBF3} - C:\WINDOWS\system32\pmnnm.dll 
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll 
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab 
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx 

* Toutes applications fermées et HORS CONNEXION, clique sur fix checked

puis

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe


double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\pmnnm.dll 

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

reposte également un nouveau rapport hijackthis

felisbliss · Answer

super merci pour la rapidité des réponses au fait :)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:03:42, on 04/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset
od32kui.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F1454C11-6D3A-46E5-B35F-4587453A2992} - C:\WINDOWS\system32\pmnnm.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

philae83 · Answer

as tu le rapport d'otmoveit stp

la dll est tjs là

ensuite

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT

*désactive ton antivirus, antispyware, et spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite
puis

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

(possible que pour la suite ce soit demain en soirée seulement)

felisbliss · Answer

"le rapport d'otmoveit " ???????

philae83 · Answer

bein oui me semble t'avoir demandé une action avec OTMoveIt, tu ne l'as pas faite ?

felisbliss · Answer

si, mais j'ai pas eu de rapport par contre ? 
ou bien ?

felisbliss · Answer

alors le lancement de combofix a fait rebooter l'ordi, donc l'antivirus nod32 s'est relance automatiquement , meme si combofix avait demandé de ne lancer aucun programme le temps que le rapport combofix se lance.

je voulais aussi preciser que j'ai deja supprimer la restauration systeme depuis 3 jours, donc quand combofix declare creer un nouveau point de restauration, je ne sais pas ce que ca a pu faire.

ComboFix 07-12-02.6 - Felis 2007-12-04 0:25:35.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.630 [GMT 1:00]
Running from: C:\Documents and Settings\Felis\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\khfcaaw.dll
C:\WINDOWS\system32\mnnmp.ini
C:\WINDOWS\system32\mnnmp.ini2
C:\WINDOWS\system32\pmnnm.dll
C:\WINDOWS\system32\tuvttst.dll
C:\WINDOWS\system32\yayaayw.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\nm

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-03 to 2007-12-03 ))))))))))))))))))))))))))))))))))))
.

2007-12-04 00:31 . 2007-12-04 00:31 244 --ah----- C:\sqmnoopt13.sqm
2007-12-04 00:31 . 2007-12-04 00:31 232 --ah----- C:\sqmdata13.sqm
2007-12-03 23:53 . 2007-12-03 23:53 244 --ah----- C:\sqmnoopt12.sqm
2007-12-03 23:53 . 2007-12-03 23:53 232 --ah----- C:\sqmdata12.sqm
2007-12-03 22:11 . 2007-12-03 22:11 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2007-12-03 03:58 . 2007-12-03 03:58 244 --ah----- C:\sqmnoopt11.sqm
2007-12-03 03:58 . 2007-12-03 03:58 232 --ah----- C:\sqmdata11.sqm
2007-12-03 03:57 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-12-03 03:49 . 2007-12-03 03:49 244 --ah----- C:\sqmnoopt10.sqm
2007-12-03 03:49 . 2007-12-03 03:49 232 --ah----- C:\sqmdata10.sqm
2007-12-03 03:44 . 2007-12-03 03:46 <REP> d-------- C:\Program Files\Navilog1
2007-12-03 03:17 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2007-12-03 03:17 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2007-12-03 03:17 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2007-12-03 03:17 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2007-12-03 03:17 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2007-12-03 03:09 . 2007-12-03 03:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-03 03:04 . 2007-12-03 03:08 <REP> d-------- C:\Program Files\RegCleaner
2007-12-03 02:56 . 2007-12-03 02:56 244 --ah----- C:\sqmnoopt09.sqm
2007-12-03 02:56 . 2007-12-03 02:56 232 --ah----- C:\sqmdata09.sqm
2007-12-03 02:51 . 2007-12-03 02:51 244 --ah----- C:\sqmnoopt08.sqm
2007-12-03 02:51 . 2007-12-03 02:51 232 --ah----- C:\sqmdata08.sqm
2007-12-03 00:46 . 2007-12-03 00:46 244 --ah----- C:\sqmnoopt07.sqm
2007-12-03 00:46 . 2007-12-03 00:46 232 --ah----- C:\sqmdata07.sqm
2007-12-01 17:40 . 2007-12-03 07:32 660 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-12-01 17:39 . 2007-12-01 17:39 244 --ah----- C:\sqmnoopt06.sqm
2007-12-01 17:39 . 2007-12-01 17:39 232 --ah----- C:\sqmdata06.sqm
2007-12-01 17:35 . 2007-12-01 17:35 244 --ah----- C:\sqmnoopt05.sqm
2007-12-01 17:35 . 2007-12-01 17:35 232 --ah----- C:\sqmdata05.sqm
2007-11-30 08:41 . 2007-11-30 08:41 244 --ah----- C:\sqmnoopt04.sqm
2007-11-30 08:41 . 2007-11-30 08:41 232 --ah----- C:\sqmdata04.sqm
2007-11-29 17:12 . 2007-11-29 17:12 <REP> d-------- C:\VundoFix Backups
2007-11-29 17:08 . 2007-11-29 17:08 <REP> d-------- C:\Program Files\Trend Micro
2007-11-29 06:43 . 2007-11-29 06:43 <REP> d-------- C:\Documents and Settings\Felis\Application Data\ICQLite
2007-11-29 06:28 . 2007-11-29 06:28 244 --ah----- C:\sqmnoopt03.sqm
2007-11-29 06:28 . 2007-11-29 06:28 232 --ah----- C:\sqmdata03.sqm
2007-11-29 06:23 . 2007-11-29 06:23 244 --ah----- C:\sqmnoopt02.sqm
2007-11-29 06:23 . 2007-11-29 06:23 232 --ah----- C:\sqmdata02.sqm
2007-11-26 07:06 . 2007-11-26 07:06 244 --ah----- C:\sqmnoopt01.sqm
2007-11-26 07:06 . 2007-11-26 07:06 232 --ah----- C:\sqmdata01.sqm
2007-11-26 06:49 . 2007-11-26 06:49 244 --ah----- C:\sqmnoopt00.sqm
2007-11-26 06:49 . 2007-11-26 06:49 232 --ah----- C:\sqmdata00.sqm
2007-11-26 06:39 . 2007-11-26 06:39 38,912 --a------ C:\WINDOWS\system32\nnnkljj.dll.vir
2007-11-26 06:39 . 2007-11-26 06:45 32,764 --a------ C:\WINDOWS\17PHolmes572.exe
2007-11-19 17:21 . 2007-11-19 17:21 <REP> d--h----- C:\WINDOWS\PIF
2007-11-11 07:26 . 2007-11-11 07:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-07 23:56 --------- d-----w C:\Program Files\Java
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATnotes.exe"="C:\Program Files\ATnotes\ATnotes.exe" [2005-01-05 15:45]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 C:\WINDOWS\soundman.exe]
"CCProxy"="C:\CCProxy\CCProxy.exe" []
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2006-12-25 05:26]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 C:\WINDOWS\LOGI_MWX.EXE]
"ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" [2006-07-11 11:06]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2004-10-04 18:53]

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-03 15:30:38 C:\WINDOWS\Tasks\Nettoyage de disque.job"
- C:\WINDOWS\system32\cleanmgr.exe
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-04 00:33:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-04 0:35:08 - machine was rebooted
.
--- E O F ---

felisbliss · Answer

ah zut je suis aveugle, voila aussi le rapport C:\_OTMoveIt\MovedFiles :


DllUnregisterServer procedure not found in C:\WINDOWS\system32\pmnnm.dll
C:\WINDOWS\system32\pmnnm.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\pmnnm.dll scheduled to be moved on reboot.
 
Created on 12/03/2007 23:59:34

philae83 · Answer

bonsoir,

ok, peux tu reposter un nouveau rapport hijackthis stp

felisbliss · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:52:43, on 05/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe

philae83 · Answer

bonsoir,

je ne t'oublie pas, je vais regarder tes rapports dans la soirée

philae83 · Answer

bonsoir

visiblement cela semble correct

on va faire :

* fais un scan antivirus en ligne ICI et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Tuto (merci Morgane)

felisbliss · Answer

C:\Program Files\ESET\cache\FND0.NFI=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.ASO
 
C:\Program Files\ESET\cache\FND0.NFI=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\cache\FND0.NFI=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\cache\FND3.NFI=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.YUY
 
C:\Program Files\ESET\cache\FND3.NFI=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\cache\FND4.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Infecté par: Trojan.Downloader.Purityscan.EN
 
C:\Program Files\ESET\cache\FND4.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Echec de la désinfection
 
C:\Program Files\ESET\cache\FND4.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Supprimé
 
C:\Program Files\ESET\cache\FND4.NFI=>(Quarantine-PE)=>(NSIS o)
 Echec de la mise à jour
 
C:\Program Files\ESET\cache\FND5.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Infecté par: Trojan.Downloader.Purityscan.EN
 
C:\Program Files\ESET\cache\FND5.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Echec de la désinfection
 
C:\Program Files\ESET\cache\FND5.NFI=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Supprimé
 
C:\Program Files\ESET\cache\FND5.NFI=>(Quarantine-PE)=>(NSIS o)
 Echec de la mise à jour
 
C:\Program Files\ESET\cache\FND6.NFI=>(Quarantine-PE)
 Infecté par: Trojan.Vundo.DRQ
 
C:\Program Files\ESET\cache\FND6.NFI=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\cache\FND6.NFI=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\0RBN1EDA.NQF=>(Quarantine-PE)
 Infecté par: Backdoor.Agent.ARK
 
C:\Program Files\ESET\infected\0RBN1EDA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\0RBN1EDA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\1D4UXPDA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.AWF
 
C:\Program Files\ESET\infected\1D4UXPDA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\1D4UXPDA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\1GXFA5CA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.AWF
 
C:\Program Files\ESET\infected\1GXFA5CA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\1GXFA5CA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\DAKAOOCA.NQF=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Infecté par: Trojan.Downloader.Purityscan.EN
 
C:\Program Files\ESET\infected\DAKAOOCA.NQF=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Echec de la désinfection
 
C:\Program Files\ESET\infected\DAKAOOCA.NQF=>(Quarantine-PE)=>(NSIS o)=>zlib_nsis0002
 Supprimé
 
C:\Program Files\ESET\infected\DAKAOOCA.NQF=>(Quarantine-PE)=>(NSIS o)
 Echec de la mise à jour
 
C:\Program Files\ESET\infected\DZZIUYAA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.AWF
 
C:\Program Files\ESET\infected\DZZIUYAA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\DZZIUYAA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\EA0K3WCA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Generic.46038
 
C:\Program Files\ESET\infected\EA0K3WCA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\EA0K3WCA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\EB2AEHCA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Zonebac.B
 
C:\Program Files\ESET\infected\EB2AEHCA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\EB2AEHCA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\EBNRPMCA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Murlo.X
 
C:\Program Files\ESET\infected\EBNRPMCA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\EBNRPMCA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\FQNAYCBA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Zonebac.B
 
C:\Program Files\ESET\infected\FQNAYCBA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\FQNAYCBA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\IE2E2SCA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Generic.46038
 
C:\Program Files\ESET\infected\IE2E2SCA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\IE2E2SCA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\JD4WN0AA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Generic.46038
 
C:\Program Files\ESET\infected\JD4WN0AA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\JD4WN0AA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\JZU3ZUCA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Zonebac.B
 
C:\Program Files\ESET\infected\JZU3ZUCA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\JZU3ZUCA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\LOMJVUAA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Generic.46038
 
C:\Program Files\ESET\infected\LOMJVUAA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\LOMJVUAA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\LRNUC4BA.NQF=>(Quarantine-PE)
 Infecté par: BehavesLike:Win32.ExplorerHijack
 
C:\Program Files\ESET\infected\LRNUC4BA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\LRNUC4BA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\O1NPX0DA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.AWF
 
C:\Program Files\ESET\infected\O1NPX0DA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\O1NPX0DA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\P5W4L4DA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Clicker.Agent.JH
 
C:\Program Files\ESET\infected\P5W4L4DA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\P5W4L4DA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\Q0O213AA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.AWF
 
C:\Program Files\ESET\infected\Q0O213AA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\Q0O213AA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\Q2PKA0BA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Clicker.Agent.JH
 
C:\Program Files\ESET\infected\Q2PKA0BA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\Q2PKA0BA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\Q4TWMOBA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Clicker.Agent.JH
 
C:\Program Files\ESET\infected\Q4TWMOBA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\Q4TWMOBA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\QVUMWTDA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Zonebac.B
 
C:\Program Files\ESET\infected\QVUMWTDA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\QVUMWTDA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\R43WTRDA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Zonebac.B
 
C:\Program Files\ESET\infected\R43WTRDA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\R43WTRDA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\SYH12ACA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Zonebac.B
 
C:\Program Files\ESET\infected\SYH12ACA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\SYH12ACA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\VC1YS1BA.NQF=>(Quarantine-PE)
 Infecté par: Win32.Worm.P2P.Puce.G
 
C:\Program Files\ESET\infected\VC1YS1BA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\VC1YS1BA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\VG2I5KDA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.AWF
 
C:\Program Files\ESET\infected\VG2I5KDA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\VG2I5KDA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\W5T2WGCA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.AWF
 
C:\Program Files\ESET\infected\W5T2WGCA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\W5T2WGCA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\WN535VAA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.AWF
 
C:\Program Files\ESET\infected\WN535VAA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\WN535VAA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\XJ4KWNCA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Vundo.DRQ
 
C:\Program Files\ESET\infected\XJ4KWNCA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\XJ4KWNCA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\Y0HSLNBA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Downloader.Agent.ASO
 
C:\Program Files\ESET\infected\Y0HSLNBA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\Y0HSLNBA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\Program Files\ESET\infected\Z34EWIAA.NQF=>(Quarantine-PE)
 Infecté par: Trojan.Zonebac.B
 
C:\Program Files\ESET\infected\Z34EWIAA.NQF=>(Quarantine-PE)
 Echec de la désinfection
 
C:\Program Files\ESET\infected\Z34EWIAA.NQF=>(Quarantine-PE)
 Supprimé
 
C:\qoobox\Quarantine\C\WINDOWS\system32\khfcaaw.dll.vir
 Infecté par: Trojan.Vundo.DRI
 
C:\qoobox\Quarantine\C\WINDOWS\system32\khfcaaw.dll.vir
 Supprimé
 
C:\qoobox\Quarantine\C\WINDOWS\system32	uvttst.dll.vir
 Infecté par: Trojan.Vundo.DRI
 
C:\qoobox\Quarantine\C\WINDOWS\system32	uvttst.dll.vir
 Supprimé
 
C:\qoobox\Quarantine\C\WINDOWS\system32\yayaayw.dll.vir
 Infecté par: Trojan.Vundo.DRI
 
C:\qoobox\Quarantine\C\WINDOWS\system32\yayaayw.dll.vir
 Supprimé
 
C:\svcipa.exe
 Infecté par: Trojan.Zonebac.B
 
C:\svcipa.exe
 Echec de la désinfection
 
C:\svcipa.exe
 Supprimé
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000005.dll
 Infecté par: Trojan.Vundo.DRI
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000005.dll
 Supprimé
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000006.dll
 Infecté par: Trojan.Vundo.DRI
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000006.dll
 Supprimé
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000007.dll
 Infecté par: Trojan.Vundo.DRI
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP2\A0000007.dll
 Supprimé
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000092.exe
 Infecté par: Trojan.Zonebac.B
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000092.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000092.exe
 Supprimé
 
C:\VundoFix Backups\cbxwwuv.dll.bad
 Infecté par: Trojan.Vundo.DRI
 
C:\VundoFix Backups\cbxwwuv.dll.bad
 Supprimé
 
C:\WINDOWS\system32
nnkljj.dll.vir
 Infecté par: Trojan.Vundo.DRI
 
C:\WINDOWS\system32
nnkljj.dll.vir
 Supprimé
 
E:\Mes medias\australie.exe
 Infecté par: Joke.Flipped
 
E:\Mes medias\australie.exe
 Echec de la désinfection
 
E:\Mes medias\australie.exe
 Supprimé
 
E:\Mes medias\bonjour....exe
 Infecté par: Trojan.Shock.D
 
E:\Mes medias\bonjour....exe
 Echec de la désinfection
 
E:\Mes medias\bonjour....exe
 Supprimé
 
E:\Mes medias\car.exe
 Infecté par: Joke.Rabbit
 
E:\Mes medias\car.exe
 Echec de la désinfection
 
E:\Mes medias\car.exe
 Supprimé
 
E:\Mes medias\mona.exe
 Infecté par: Trojan.Joke.Mona.A
 
E:\Mes medias\mona.exe
 Echec de la désinfection
 
E:\Mes medias\mona.exe
 Supprimé
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000093.exe
 Infecté par: Joke.Flipped
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000093.exe
 Echec de la désinfection
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000093.exe
 Supprimé
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000094.exe
 Infecté par: Trojan.Shock.D
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000094.exe
 Echec de la désinfection
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000094.exe
 Supprimé
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000095.exe
 Infecté par: Joke.Rabbit
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000095.exe
 Echec de la désinfection
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000095.exe
 Supprimé
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000096.exe
 Infecté par: Trojan.Joke.Mona.A
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000096.exe
 Echec de la désinfection
 
E:\System Volume Information\_restore{92CC686C-A685-44FD-95C7-70F85F8ED02C}\RP3\A0000096.exe
 Supprimé



oula, avec tous les trucs que j'ai déjà faits , je commence a voir la bestiole comme un grand malade :)
(et toujours merci beaucoup)

felisbliss · Answer

je crois qu'en fait c'est peut-être juste ca qui etait demandé non ? :



BitDefender Online Scanner - Rapport virus en temps réel
Généré à: Thu, Dec 06, 2007 - 06:53:19
--------------------------------------------------------------------------------
Info d'analyse

Fichiers scannés
 469269
 
Infectés Fichiers
 55
 
 
Virus Détectés

Trojan.Shock.D
 2
Trojan.Vundo.DRQ
 2
Trojan.Joke.Mona.A
 3
Backdoor.Agent.ARK
 1
Trojan.Zonebac.B
 9
Trojan.Downloader.Agent.YUY
 1
Joke.Rabbit
 3
Trojan.Downloader.Murlo.X
 1
Trojan.Downloader.Agent.ASO
 2
Trojan.Downloader.Purityscan.EN
 3
Win32.Worm.P2P.Puce.G
 1
Trojan.Vundo.DRI
 8
Trojan.Downloader.Agent.AWF
 8
Trojan.Generic.46038
 4
Trojan.Clicker.Agent.JH
 3
Joke.Flipped
 3
BehavesLike:Win32.ExplorerHijack
 1

philae83 · Answer

bonjour,

non c'était bien le premier rapport que tu as posté qui m'intéressait.

As tu encore des problèmes. Je vois que bitdefender a fini de nettoyer qq petites choses, le reste étant dans les quarantaine et la restauration système

felisbliss · Answer

Bonjour, a priori je touche du bois mais ca a l'air d'aller bien :)

merci beaucoup

felisbliss · Answer

AH NON ! c'est pas vrai !!
 a la seconde ou je laisse un message ici, j'ai de ,nouveau le bureau qui disparait, et la je viens de faire un scan hijackthis, et je trouve ca : 

O2 - BHO: (no name) - {B285004D-6D02-4212-91FC-B8F47B68C254} - C:\WINDOWS\system32\opnljii.dll
O20 - Winlogon Notify: opnljii - C:\WINDOWS\SYSTEM32\opnljii.dll


je crois que c'est reparti, non ? :'(

philae83 · Answer

bonjour,

relance combofix, poste le rapport
ainsi qu'un nouveau rapport hijackthis stp

je reviendrais plus tard

felisbliss · Answer

Au moins ce qu'il y a de bien, c'est que j'ai deja tous les programmes ... COMBOFIX : ComboFix 07-12-02.6 - Felis 2007-12-10 17:30:07.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.542 [GMT 1:00] Running from: C:\Documents and Settings\Felis\Bureau\Nouveau dossier\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\awtsq.dll C:\WINDOWS\system32\qstwa.ini C:\WINDOWS\system32\qstwa.ini2 . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-10 to 2007-12-10 )))))))))))))))))))))))))))))))))))) . 2007-12-10 08:53 . 2007-12-10 08:53 d-------- C:\Documents and Settings\Felis\Application Data\Grisoft 2007-12-10 08:53 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-10 04:46 . 2007-12-10 04:47 39,936 --a------ C:\WINDOWS\system32\opnllml.dll 2007-12-10 04:46 . 2007-12-10 04:46 39,936 --a------ C:\WINDOWS\system32\opnljii.dll.vir 2007-12-07 22:28 . 2007-12-07 22:40 d-------- C:\Documents and Settings\Felis\Application Data\yoclient 2007-12-07 21:45 . 2007-10-08 21:45 32 -ra------ C:\Documents and Settings\All Users\hash.dat 2007-12-07 21:44 . 2007-12-07 21:44 d-------- C:\Documents and Settings\Felis\.narya 2007-12-07 21:27 . 2007-12-07 21:46 d-------- C:\Documents and Settings\Felis\Application Data\bang 2007-12-06 22:25 . 2007-12-06 22:25 244 --ah----- C:\sqmnoopt15.sqm 2007-12-06 22:25 . 2007-12-06 22:25 232 --ah----- C:\sqmdata15.sqm 2007-12-06 03:14 . 2007-12-10 08:43 d-------- C:\WINDOWS\BDOSCAN8 2007-12-04 00:40 . 2007-12-04 00:40 244 --ah----- C:\sqmnoopt14.sqm 2007-12-04 00:40 . 2007-12-04 00:40 232 --ah----- C:\sqmdata14.sqm 2007-12-04 00:31 . 2007-12-04 00:31 244 --ah----- C:\sqmnoopt13.sqm 2007-12-04 00:31 . 2007-12-04 00:31 232 --ah----- C:\sqmdata13.sqm 2007-12-03 23:53 . 2007-12-03 23:53 244 --ah----- C:\sqmnoopt12.sqm 2007-12-03 23:53 . 2007-12-03 23:53 232 --ah----- C:\sqmdata12.sqm 2007-12-03 22:11 . 2007-12-03 22:11 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe 2007-12-03 03:58 . 2007-12-03 03:58 244 --ah----- C:\sqmnoopt11.sqm 2007-12-03 03:58 . 2007-12-03 03:58 232 --ah----- C:\sqmdata11.sqm 2007-12-03 03:57 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2007-12-03 03:49 . 2007-12-03 03:49 244 --ah----- C:\sqmnoopt10.sqm 2007-12-03 03:49 . 2007-12-03 03:49 232 --ah----- C:\sqmdata10.sqm 2007-12-03 03:44 . 2007-12-03 03:46 d-------- C:\Program Files\Navilog1 2007-12-03 03:17 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll 2007-12-03 03:17 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui 2007-12-03 03:17 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui 2007-12-03 03:17 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui 2007-12-03 03:17 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui 2007-12-03 03:09 . 2007-12-03 03:10 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-03 03:04 . 2007-12-03 03:08 d-------- C:\Program Files\RegCleaner 2007-12-03 02:56 . 2007-12-03 02:56 244 --ah----- C:\sqmnoopt09.sqm 2007-12-03 02:56 . 2007-12-03 02:56 232 --ah----- C:\sqmdata09.sqm 2007-12-03 02:51 . 2007-12-03 02:51 244 --ah----- C:\sqmnoopt08.sqm 2007-12-03 02:51 . 2007-12-03 02:51 232 --ah----- C:\sqmdata08.sqm 2007-12-03 00:46 . 2007-12-03 00:46 244 --ah----- C:\sqmnoopt07.sqm 2007-12-03 00:46 . 2007-12-03 00:46 232 --ah----- C:\sqmdata07.sqm 2007-12-01 17:40 . 2007-12-03 07:32 660 --a------ C:\WINDOWS\system32\drivers\fwdrv.err 2007-12-01 17:39 . 2007-12-01 17:39 244 --ah----- C:\sqmnoopt06.sqm 2007-12-01 17:39 . 2007-12-01 17:39 232 --ah----- C:\sqmdata06.sqm 2007-12-01 17:35 . 2007-12-01 17:35 244 --ah----- C:\sqmnoopt05.sqm 2007-12-01 17:35 . 2007-12-01 17:35 232 --ah----- C:\sqmdata05.sqm 2007-11-30 08:41 . 2007-11-30 08:41 244 --ah----- C:\sqmnoopt04.sqm 2007-11-30 08:41 . 2007-11-30 08:41 232 --ah----- C:\sqmdata04.sqm 2007-11-29 17:12 . 2007-12-10 05:44 d-------- C:\VundoFix Backups 2007-11-29 17:08 . 2007-11-29 17:08 d-------- C:\Program Files\Trend Micro 2007-11-29 06:43 . 2007-11-29 06:43 d-------- C:\Documents and Settings\Felis\Application Data\ICQLite 2007-11-29 06:28 . 2007-11-29 06:28 244 --ah----- C:\sqmnoopt03.sqm 2007-11-29 06:28 . 2007-11-29 06:28 232 --ah----- C:\sqmdata03.sqm 2007-11-29 06:23 . 2007-11-29 06:23 244 --ah----- C:\sqmnoopt02.sqm 2007-11-29 06:23 . 2007-11-29 06:23 232 --ah----- C:\sqmdata02.sqm 2007-11-26 07:06 . 2007-11-26 07:06 244 --ah----- C:\sqmnoopt01.sqm 2007-11-26 07:06 . 2007-11-26 07:06 232 --ah----- C:\sqmdata01.sqm 2007-11-26 06:49 . 2007-11-26 06:49 244 --ah----- C:\sqmnoopt00.sqm 2007-11-26 06:49 . 2007-11-26 06:49 232 --ah----- C:\sqmdata00.sqm 2007-11-26 06:39 . 2007-12-10 04:47 32,764 --a------ C:\WINDOWS\17PHolmes572.exe 2007-11-19 17:21 . 2007-11-19 17:21 d--h----- C:\WINDOWS\PIF 2007-11-11 07:26 . 2007-11-11 07:26 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-07 23:56 --------- d-----w C:\Program Files\Java . ((((((((((((((((((((((((((((( snapshot@2007-12-04_ 0.34.24.01 ))))))))))))))))))))))))))))))))))))))))) . + 2007-12-06 02:15:19 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll + 2007-12-06 02:15:19 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll + 2007-12-06 02:15:19 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll + 2007-12-06 02:15:21 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll + 2007-12-10 05:07:20 77,824 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2006-05-25 00:21:14 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll + 2007-12-06 02:15:21 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll + 2007-12-06 02:15:19 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll + 2006-05-25 00:22:06 53,248 ----a-w C:\WINDOWS\bdoscandel.exe + 2006-05-25 00:21:00 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll + 2006-05-25 00:21:14 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll - 2004-08-03 22:54:22 1,017,344 ----a-w C:\WINDOWS\system32\browseui.dll + 2007-08-22 13:13:05 1,023,488 ----a-w C:\WINDOWS\system32\browseui.dll - 2004-08-03 22:54:22 151,552 ----a-w C:\WINDOWS\system32\cdfview.dll + 2007-08-22 13:13:05 152,064 ----a-w C:\WINDOWS\system32\cdfview.dll - 2004-08-03 22:54:24 1,056,256 ----a-w C:\WINDOWS\system32\danim.dll + 2007-08-22 13:13:05 1,056,768 ----a-w C:\WINDOWS\system32\danim.dll - 2004-08-03 22:54:22 1,017,344 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll + 2007-08-22 13:13:05 1,023,488 -c--a-w C:\WINDOWS\system32\dllcache\browseui.dll - 2004-08-03 22:54:22 151,552 -c--a-w C:\WINDOWS\system32\dllcache\cdfview.dll + 2007-08-22 13:13:05 152,064 -c--a-w C:\WINDOWS\system32\dllcache\cdfview.dll - 2004-08-03 22:54:24 1,056,256 -c--a-w C:\WINDOWS\system32\dllcache\danim.dll + 2007-08-22 13:13:05 1,056,768 -c--a-w C:\WINDOWS\system32\dllcache\danim.dll - 2004-08-03 22:54:24 357,888 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll + 2007-08-22 13:13:05 357,888 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll - 2004-08-03 22:54:24 201,728 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll + 2007-08-22 13:13:05 205,312 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll - 2004-08-03 22:54:26 55,808 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll + 2007-08-22 13:13:05 55,808 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll - 2004-08-03 22:54:52 18,432 -c--a-w C:\WINDOWS\system32\dllcache\iedw.exe + 2007-08-21 10:30:45 18,432 -c--a-w C:\WINDOWS\system32\dllcache\iedw.exe - 2004-08-03 22:54:28 249,344 -c--a-w C:\WINDOWS\system32\dllcache\iepeers.dll + 2007-08-22 13:13:05 251,392 -c--a-w C:\WINDOWS\system32\dllcache\iepeers.dll - 2004-08-03 22:54:30 96,768 -c--a-w C:\WINDOWS\system32\dllcache\inseng.dll + 2007-08-22 13:13:06 96,768 -c--a-w C:\WINDOWS\system32\dllcache\inseng.dll - 2004-08-03 22:54:30 15,872 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll + 2007-08-22 13:13:06 16,384 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll - 2004-08-03 22:54:34 3,003,392 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll + 2007-08-22 13:13:07 3,079,168 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll - 2004-08-03 22:54:34 448,512 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll + 2007-08-22 13:13:07 449,024 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll - 2004-08-03 22:54:36 146,432 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll + 2007-08-22 13:13:07 146,432 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll - 2004-08-03 22:54:36 530,432 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll + 2007-08-22 13:13:07 532,480 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll - 2004-08-03 22:54:38 39,424 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll + 2007-08-22 13:13:07 39,424 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll - 2004-08-03 22:54:40 1,483,776 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll + 2007-08-22 13:13:08 1,495,040 -c--a-w C:\WINDOWS\system32\dllcache\shdocvw.dll - 2004-08-03 22:54:40 474,112 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll + 2007-08-22 13:13:08 474,624 -c--a-w C:\WINDOWS\system32\dllcache\shlwapi.dll - 2004-08-03 22:54:44 603,136 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll + 2007-08-22 13:13:08 617,472 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll - 2004-08-03 22:54:46 660,480 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll + 2007-08-22 13:13:08 663,040 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll - 2004-08-03 22:54:24 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll + 2007-08-22 13:13:05 357,888 ----a-w C:\WINDOWS\system32\dxtmsft.dll - 2004-08-03 22:54:24 201,728 ----a-w C:\WINDOWS\system32\dxtrans.dll + 2007-08-22 13:13:05 205,312 ----a-w C:\WINDOWS\system32\dxtrans.dll - 2004-08-03 22:54:26 55,808 ----a-w C:\WINDOWS\system32\extmgr.dll + 2007-08-22 13:13:05 55,808 ----a-w C:\WINDOWS\system32\extmgr.dll - 2004-08-03 22:54:28 249,344 ----a-w C:\WINDOWS\system32\iepeers.dll + 2007-08-22 13:13:05 251,392 ----a-w C:\WINDOWS\system32\iepeers.dll - 2004-08-03 22:54:30 96,768 ----a-w C:\WINDOWS\system32\inseng.dll + 2007-08-22 13:13:06 96,768 ----a-w C:\WINDOWS\system32\inseng.dll - 2004-08-03 22:54:30 15,872 ----a-w C:\WINDOWS\system32\jsproxy.dll + 2007-08-22 13:13:06 16,384 ----a-w C:\WINDOWS\system32\jsproxy.dll - 2004-08-03 22:54:34 3,003,392 ----a-w C:\WINDOWS\system32\mshtml.dll + 2007-08-22 13:13:07 3,079,168 ----a-w C:\WINDOWS\system32\mshtml.dll - 2004-08-03 22:54:34 448,512 ----a-w C:\WINDOWS\system32\mshtmled.dll + 2007-08-22 13:13:07 449,024 ----a-w C:\WINDOWS\system32\mshtmled.dll - 2004-08-03 22:54:36 146,432 ----a-w C:\WINDOWS\system32\msrating.dll + 2007-08-22 13:13:07 146,432 ----a-w C:\WINDOWS\system32\msrating.dll - 2004-08-03 22:54:36 530,432 ----a-w C:\WINDOWS\system32\mstime.dll + 2007-08-22 13:13:07 532,480 ----a-w C:\WINDOWS\system32\mstime.dll - 2004-08-03 22:54:38 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll + 2007-08-22 13:13:07 39,424 ----a-w C:\WINDOWS\system32\pngfilt.dll - 2004-08-03 22:54:40 1,483,776 ----a-w C:\WINDOWS\system32\shdocvw.dll + 2007-08-22 13:13:08 1,495,040 ----a-w C:\WINDOWS\system32\shdocvw.dll - 2004-08-03 22:54:40 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll + 2007-08-22 13:13:08 474,624 ----a-w C:\WINDOWS\system32\shlwapi.dll - 2004-08-03 22:54:44 603,136 ----a-w C:\WINDOWS\system32\urlmon.dll + 2007-08-22 13:13:08 617,472 ----a-w C:\WINDOWS\system32\urlmon.dll - 2004-08-03 22:54:46 660,480 ----a-w C:\WINDOWS\system32\wininet.dll + 2007-08-22 13:13:08 663,040 ----a-w C:\WINDOWS\system32\wininet.dll + 2007-12-10 16:37:09 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_788.dat . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATnotes.exe"="C:\Program Files\ATnotes\ATnotes.exe" [2005-01-05 15:45] "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" [2006-07-11 11:06] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 C:\WINDOWS\soundman.exe] "CCProxy"="C:\CCProxy\CCProxy.exe" [] "nod32kui"="C:\Program Files\Eset od32kui.exe" [2006-12-25 05:26] "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 C:\WINDOWS\LOGI_MWX.EXE] "ICQ Lite"="C:\Program Files\ICQLite\ICQLite.exe" [2006-07-11 11:06] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2004-10-04 18:53] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"= 0 (0x0) R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-12-10 08:24:07 C:\WINDOWS\Tasks\Nettoyage de disque.job" - C:\WINDOWS\system32\cleanmgr.exe . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-10 17:37:53 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-10 17:39:29 - machine was rebooted C:\ComboFix2.txt ... 2007-12-04 00:35 . --- E O F --- HIJACKTHIS : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:40:57, on 10/12/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Executive Software\Diskeeper\DkService.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Eset od32krn.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Eset od32kui.exe C:\Program Files\ICQLite\ICQLite.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\ATnotes\ATnotes.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\scanner.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset od32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset od32krn.exe

philae83 · Answer

bonsoir

j'aimerai avant d'analyser ces rapports que tu m'expliques d'où tu ressors ceux dont tu m'as parlé


O2 - BHO: (no name) - {B285004D-6D02-4212-91FC-B8F47B68C254} - C:\WINDOWS\system32\opnljii.dll
O20 - Winlogon Notify: opnljii - C:\WINDOWS\SYSTEM32\opnljii.dll 

ils n'apparaissent pas dans ces nouveaux rapports

felisbliss · Answer

et bien c'est les deux lignes qui m'avaient marquées dans le premier hijackthis que j'ai fait quand le bureau a recommence a sauter. C'etaient les deux lignes qui m'ont fait penser que virtumondo etait de nouveau la.
j'ai donc fait un vundofix et virtumundobegone qui a fait redemarrer l'ordi.
le hijackthis posté est celui d'apres.

philae83 · Answer

tu m'excuseras mais j'ai du mal à te suivre. Tu as quoi comme problème actuellement ?
le bureau qui saute ?

j'ai donc fait un vundofix et virtumundobegone qui a fait redemarrer l'ordi. 

si tu utilises des programmes sans raison, et sans savoir, alors que de toutes façons ils ne suppriment pas systématiquement, ça ne sert à rien du tout.
Si tu as lancé vundo et virtumondebegone poste les rapports stp

felisbliss · Answer

bon alors je reprends les choses dans l'ordre, car non, je ne lance pas n'importe quoi sans savoir, en tout cas j'essaye. Je sais que c'est fatiguant de devoir repondre a des gens qui font n'importe quoi avec leur ordi a longueur de journée et viennent pleurer ici apres, mais je ne pense pas que c'est mon cas. Je me fait peut-etre des illusions.
J'ai surement eu tort au bout du compte de faire ce que j'a fait, mais je ne l'ai pas fait sans reflechir, et sans choisir mes actions.

depuis plusieurs jours il semblait que je n'avais plus de probleme, mais j'utilisais tres peu l'internet
le soir ou j'ai posté pour dire que je n'avais visiblement plus de probleme, apres quelques minutes de surf, le bureau a de nouveau disparu.
J'ai donc lance un hijackthis, sur lequel j'ai remarqué ces deux lignes, la 02 et la 20 que j'ai donc posté sur ce sujet.
comme ces deux lignes, la 02 et la 20, representaient selon ce que des personnes competente m'avaient dit etre une preuve d'une infection adware type vundo, j'ai essayer de voir si vundofix le trouvait (reponse : non). J'ai alors lancé le virtumundobegone, qui s'est tout de suite arreté a a fait redemarré l'ordi. je poste le rapport a la fin de ce poste.
Ce soir le bureau n'a pas encore sauté,mais je ne suis pas la depuis longtemps, et la derniere fois que j'ai dit que je n'avais plus de probleme, ca a recommence dix minutes apres

cordialement




[12/10/2007, 5:58:50] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Felis\Bureau\Nouveau dossier\VirtumundoBeGone.exe" )
[12/10/2007, 5:58:56] - Detected System Information:
[12/10/2007, 5:58:56] -  Windows Version: 5.1.2600, Service Pack 2
[12/10/2007, 5:58:56] -  Current Username: Felis (Admin)
[12/10/2007, 5:58:56] -  Windows is in NORMAL mode.
[12/10/2007, 5:58:56] - Searching for Browser Helper Objects:
[12/10/2007, 5:58:56] -  BHO 1: {037FB606-8560-4C47-9520-803623A09662} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] -  Checking for HKLM\...\Winlogon\Notify\awtsq
[12/10/2007, 5:58:56] -  Key not found: HKLM\...\Winlogon\Notify\awtsq, continuing.
[12/10/2007, 5:58:56] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/10/2007, 5:58:56] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/10/2007, 5:58:56] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/10/2007, 5:58:56] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] -  No filename found. Continuing.
[12/10/2007, 5:58:56] -  BHO 6: {B285004D-6D02-4212-91FC-B8F47B68C254} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] -  Checking for HKLM\...\Winlogon\Notify\opnljii
[12/10/2007, 5:58:56] -  Found: HKLM\...\Winlogon\Notify\opnljii - This is probably Virtumundo.
[12/10/2007, 5:58:56] -  Assigning {B285004D-6D02-4212-91FC-B8F47B68C254} MSEvents Object
[12/10/2007, 5:58:56] - BHO list has been changed! Starting over...
[12/10/2007, 5:58:56] -  BHO 1: {037FB606-8560-4C47-9520-803623A09662} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] -  Checking for HKLM\...\Winlogon\Notify\awtsq
[12/10/2007, 5:58:56] -  Key not found: HKLM\...\Winlogon\Notify\awtsq, continuing.
[12/10/2007, 5:58:56] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/10/2007, 5:58:56] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/10/2007, 5:58:56] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/10/2007, 5:58:56] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/10/2007, 5:58:56] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:58:56] -  No filename found. Continuing.
[12/10/2007, 5:58:56] -  BHO 6: {B285004D-6D02-4212-91FC-B8F47B68C254} (MSEvents Object)
[12/10/2007, 5:58:56] - ALERT: Found MSEvents Object!
[12/10/2007, 5:58:56] - Finished Searching Browser Helper Objects
[12/10/2007, 5:58:56] - *** Detected MSEvents Object
[12/10/2007, 5:58:56] - Trying to remove MSEvents Object...
[12/10/2007, 5:58:57] -    Terminating Process: IEXPLORE.EXE
[12/10/2007, 5:58:58] -    Terminating Process: RUNDLL32.EXE
[12/10/2007, 5:58:58] -    Disabling Automatic Shell Restart
[12/10/2007, 5:58:58] -    Terminating Process: EXPLORER.EXE
[12/10/2007, 5:58:58] -    Suspending the NT Session Manager System Service
[12/10/2007, 5:58:59] -    Terminating Windows NT Logon/Logoff Manager
[12/10/2007, 5:58:59] -    Re-enabling Automatic Shell Restart
[12/10/2007, 5:58:59] -   File to disable: C:\WINDOWS\system32\opnljii.dll
[12/10/2007, 5:58:59] -  Renaming C:\WINDOWS\system32\opnljii.dll -> C:\WINDOWS\system32\opnljii.dll.vir
[12/10/2007, 5:58:59] - ! File rename was unsucessful.
[12/10/2007, 5:58:59] -  Attempting to Deny Access to C:\WINDOWS\system32\opnljii.dll
[12/10/2007, 5:58:59] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[12/10/2007, 5:58:59] -  ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

[12/10/2007, 5:58:59] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[12/10/2007, 5:58:59] -   Removing HKLM\...\Browser Helper Objects\{B285004D-6D02-4212-91FC-B8F47B68C254}
[12/10/2007, 5:59:00] -   Removing HKCR\CLSID\{B285004D-6D02-4212-91FC-B8F47B68C254}
[12/10/2007, 5:59:00] -   Adding Kill Bit for ActiveX for GUID: {B285004D-6D02-4212-91FC-B8F47B68C254}
[12/10/2007, 5:59:00] -   Deleting ATLEvents/MSEvents Registry entries
[12/10/2007, 5:59:00] -   Removing HKLM\...\Winlogon\Notify\opnljii
[12/10/2007, 5:59:00] - Searching for Browser Helper Objects:
[12/10/2007, 5:59:00] -  BHO 1: {037FB606-8560-4C47-9520-803623A09662} ()
[12/10/2007, 5:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:59:00] -  Checking for HKLM\...\Winlogon\Notify\awtsq
[12/10/2007, 5:59:00] -  Key not found: HKLM\...\Winlogon\Notify\awtsq, continuing.
[12/10/2007, 5:59:00] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/10/2007, 5:59:00] -  BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/10/2007, 5:59:00] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/10/2007, 5:59:00] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/10/2007, 5:59:00] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 5:59:00] -  No filename found. Continuing.
[12/10/2007, 5:59:00] - Finished Searching Browser Helper Objects
[12/10/2007, 5:59:00] - Finishing up...
[12/10/2007, 5:59:00] - A restart is needed.
[12/10/2007, 6:03:42] - Attempting to Restart via STOP error (Blue Screen!)

[12/10/2007, 6:06:15] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Felis\Bureau\Nouveau dossier\VirtumundoBeGone.exe" )
[12/10/2007, 6:06:18] - Detected System Information:
[12/10/2007, 6:06:18] -  Windows Version: 5.1.2600, Service Pack 2
[12/10/2007, 6:06:18] -  Current Username: Felis (Admin)
[12/10/2007, 6:06:18] -  Windows is in NORMAL mode.
[12/10/2007, 6:06:18] - Searching for Browser Helper Objects:
[12/10/2007, 6:06:18] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader Link Helper)
[12/10/2007, 6:06:18] -  BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[12/10/2007, 6:06:19] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/10/2007, 6:06:19] -  BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[12/10/2007, 6:06:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 6:06:19] -  No filename found. Continuing.
[12/10/2007, 6:06:19] -  BHO 5: {946C4E06-EFBA-4D7F-A6E3-4CC61434895B} ()
[12/10/2007, 6:06:19] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/10/2007, 6:06:19] -  Checking for HKLM\...\Winlogon\Notify\awtsq
[12/10/2007, 6:06:19] -  Key not found: HKLM\...\Winlogon\Notify\awtsq, continuing.
[12/10/2007, 6:06:19] - Finished Searching Browser Helper Objects
[12/10/2007, 6:06:19] - Finishing up...
[12/10/2007, 6:06:19] - Nothing found! Exiting...

philae83 · Answer

re

merci pour tes explications, néanmoins afin d'être sûre d'avoir tout à fait compris. Une précision stp

depuis plusieurs jours il semblait que je n'avais plus de probleme, mais j'utilisais tres peu l'internet
le soir ou j'ai posté pour dire que je n'avais visiblement plus de probleme, apres quelques minutes de surf, le bureau a de nouveau disparu.
J'ai donc lance un hijackthis, sur lequel j'ai remarqué ces deux lignes, la 02 et la 20 que j'ai donc posté sur ce sujet. 

cela correspond au début de ce topic c'est bien cela ? parce que le 10/12 lorsque tu as reposté le rapport hijackthis les lignes dont tu parles n'y sont pas

ce n'est pas simple pour toi, je te l'accorde, mais pas forcément simple d'être sûr d'avoir compris pour moi non +

si je te demande des précisions c'est pour éviter de tourner en rond inutilement.

j'ai donc fait un vundofix et virtumundobegone qui a fait redemarrer l'ordi. 

poste le rapport de vundo si tu l'as refait stp

ensuite en ce qui concerne virtumondebegone et le dernier rapport combo. Lequel as tu fait en dernier ?

felisbliss · Answer

donc premiere infection vundo fin novembre, mais je n'ai commencé a m'en occupé que le 03/12, d'ou l'ouverture du post ici*
a partir du 06/12 ca avait l'air d'aller, mais je n'etait pas beaucoup sur le net, donc je ne suis sure de rien
le 10/12, bingo, ca recommence, le bureau disparait

vundofix du 10/12/07:

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:12:32 29/11/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:24:12 01/12/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.10

Scan started at 17:43:45 01/12/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.7.0

Checking Java version...

Java version is 1.5.0.10

Scan started at 21:59:20 03/12/2007

Listing files found while scanning....

C:\windows\system32\cbxwwuv.dll

Beginning removal...

 Attempting to delete C:\windows\system32\cbxwwuv.dll
C:\windows\system32\cbxwwuv.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.7.0

Checking Java version...

Java version is 1.5.0.10

Scan started at 05:44:26 10/12/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...







je n'ai fait de moi meme que le virtumundobegone, juste apres le vundofix, avant de reposter ici
donc le combo, c'est apres la reponse de 14h48 du 10/12 qui me disait de le lancer

TIERCE:
(hijackthis)
vundofix
virtumundobegone
combo
(re-hijackthis)

philae83 · Answer

bonjour,

suis un peu paumée dans tout ça. Etrange, y a rien dans le rapport hijackthis en tous les cas.
vundo non +

* Fait un scan antivirus en ligne Panda et copie colle le résultat ici
https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
(avec Internet Explorer et désactive ton Antivirus pendant le scan)

* tuto en image
http://pageperso.aol.fr/loraline60/panda_scan.htm

janet · Answer

Bonjour,j'ai le même souci depuis 2j....j'ai commencé la procedure avec les 2 scan
les voici
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:30, on 12/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Advanced Registry Doctor\RegManServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32undll32.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g] C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [IETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [IETI] C:\Program Files\Skype\Phone\IEPlugin\unins000.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\binesources\WebMenuImg.htm
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:  
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: DirectX Service (DirectLiwm) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Program Files\Advanced Registry Doctor\RegManServ.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

Bureau instable suite a virtumonde

37 réponses

Discussions similaires

Newsletters