trojan.vundoFermé

Question

Bonjour,

J'ai été infecté par le virus trojan Vundo. J'ai découvert çà grâce à mon anti-virus BitDefender mais trop tard malheureusement... j'ai donc reçu un paquet d'alertes concernant des .dll !!

Je me suis de suite renseigné sur ce forum et j'ai executé quelques tâches qui étaient conseillées.

Premièrement, j'ai installé et lancé le programme : VundoFix 

Résultat, celui ci a détecté quelques dll qu'il a supprimés. Seulement voilà, BitDefender me signale toujours un fichier infecté que ne détecte pas VundoFix !! Il s'agit de c:\Window\system32\cbxxvvw.dll . J'ai essayé de supprimer, déplacer, renommer manuellement ce fchier en vain. Un message d'alerte me parvient me disant que le fichier est utilisé et donc impossible à modifier.

CTRL + ALT + SUP, Processus, je coupe tous les programmes susceptibles d'utiliser ce fichier...rien ne marche !!!

En regardant un peu sur le forum, j'ai un peu vu la manière d'opérer pour éradiquer çà mais bon.... je n'y arrive pas tout seul !!!

A L'AIDE !!!!

J'ai effectué un rapport avec HiJackThis dont voici le résultat :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:27:33, on 30/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\PROGRA~1\Softwin\BITDEF~2\BDMCON~1.EXE
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q105&bd=pavilion&pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\ssqpm.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Program Files\Ganagwub\fueuylrv.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {94156686-E139-4F01-B70A-B2AA158AAEBD} - C:\WINDOWS\system32\ssqpm.dll (file missing)
O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\system32\cbxxvvw.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~2\BDMCON~1.EXE
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Flashget] C:\PROGRA~1\FlashGet\flashget.exe /min
O4 - HKLM\..\Run: [jmtcngpc] rundll32.exe "C:\Program Files\jmtcngpc\fahqvcri.dll",Init
O4 - HKLM\..\Run: [ritqbcdc] regsvr32 /u "C:\Documents and Settings\All Users.WINDOWS\Application Dataitqbcdc.dll"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvjur.dll,startup
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKLM\..\Policies\Explorer\Run: [AQ1VvkbAfn] rundll32.exe "C:\WINDOWS\system32
daTqsVqrX.dll",DllCleanServer
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - file://C:\Documents and Settings\Invite\Local Settings\Application Data\Oberon Media\Oberon Games Host\popcaploader_v6.cab
O20 - Winlogon Notify: cbxxvvw - C:\WINDOWS\SYSTEM32\cbxxvvw.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satelliteaysat_3dsmax9_32server.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Regis59 · Answer

Salut;

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Copie/colle un nouveau rapport HiJackThis avec.

A+

LePsy · Answer

salut,
c'est pas mal déja comme action, le problème peut venir de BITDEFENDER LUI MEME, qui bloque en fait la suppression du fichier en le gardant pour ainsi dire sous sa protection au niveau du module QUARANTAINE .
Tu vas essayer de supprimer ce fichier manuellement en faisant POSTE DE TRAVAIL / WINDOWS / SYSTEM / SYSTEM 32 ...jusqu'au fichier infecter, tu me suit !
Mai savant cela, tu dois temporairement désactiver BITDEFENDER de manière à débloquer sa quarantaine et te permettre ainsi l'accès au fichier infecté : reviens ici après pour nous en dire un peu plus

Karty40 · Answer

Voilà le compte rendu de ComboFix !!! ComboFix 07-12-21.4 - Martien Thomas 2007-12-30 13:10:16.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.422 [GMT 1:00] Running from: C:\Documents and Settings\Martien Thomas\Bureau\ComboFix.exe * Created a new restore point . [color=purple]The following files were disabled during the run:[/color] C:\WINDOWS\system32\sockspy.dll (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\jmtcngpc C:\Program Files\jmtcngpc\fahqvcri.dll C:\WINDOWS\pack.epk C:\WINDOWS\PerfInfo C:\WINDOWS\PerfInfo\AQ1VvkbAfnuc.exe C:\WINDOWS\PerfInfo\AQ1VvkbAfnud.exe C:\WINDOWS\system32\components C:\WINDOWS\system32\kipvtafrh.dat C:\WINDOWS\system32\kipvtafrh_nav.dat C:\WINDOWS\system32\kipvtafrh_navps.dat C:\WINDOWS\system32\nvs2.inf . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\nm ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-28 to 2007-12-30 )))))))))))))))))))))))))))))))))))) . 2007-12-30 13:37 . 2007-12-30 13:39 d-------- C:\WINDOWS\PerfInfo 2007-12-30 12:10 . 2007-12-30 12:10 997 --a------ C:\WINDOWS\system32\sstqn.dll 2007-12-30 11:27 . 2007-12-30 11:27 d-------- C:\Program Files\Trend Micro 2007-12-30 10:54 . 2007-12-30 11:23 d-------- C:\Program Files\Navilog1 2007-12-30 10:48 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-12-30 10:48 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2007-12-30 09:51 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2007-12-30 09:51 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2007-12-30 09:51 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2007-12-30 09:51 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-12-30 09:51 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-12-30 09:51 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2007-12-30 09:51 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2007-12-30 09:51 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-12-30 09:51 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-12-30 09:47 . 2007-12-30 09:52 d-------- C:\WINDOWS\system32\fr-fr 2007-12-30 07:27 . 2007-12-30 07:27 997 --a------ C:\WINDOWS\system32\pmnlm.dll 2007-12-30 06:27 . 2007-12-30 06:27 997 --a------ C:\WINDOWS\system32\geebb.dll 2007-12-30 05:27 . 2007-12-30 05:27 997 --a------ C:\WINDOWS\system32\vtstr.dll 2007-12-30 04:27 . 2007-12-30 04:27 997 --a------ C:\WINDOWS\system32\awvvt.dll 2007-12-30 03:27 . 2007-12-30 03:27 997 --a------ C:\WINDOWS\system32\ddabc.dll 2007-12-30 01:32 . 2007-12-30 01:32 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-12-30 00:51 . 2007-12-30 00:51 d-------- C:\Program Files\MSXML 4.0 2007-12-30 00:09 . 2007-12-30 00:09 997 --a------ C:\WINDOWS\system32\mljge.dll 2007-12-29 20:29 . 2007-12-29 22:21 d-------- C:\VundoFix Backups 2007-12-29 19:16 . 2007-12-29 19:16 15 --a------ C:\WINDOWS\system32\[u]0[/u]8db4dc5 2007-12-29 19:14 . 2007-12-29 19:14 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe 2007-12-29 13:09 . 2007-12-29 13:09 d-------- C:\WINDOWS\ppqvmpqr 2007-12-29 13:09 . 2007-12-29 20:54 d-------- C:\Program Files\Ganagwub 2007-12-29 13:09 . 2007-12-29 13:09 208,896 --a------ C:\WINDOWS\system32\ndaTqsVqrX.dll 2007-12-29 13:08 . 2007-12-29 13:08 40,448 --ah----- C:\WINDOWS\system32\cbxxvvw.dll 2007-12-28 00:11 . 2007-12-28 00:11 d-------- C:\Documents and Settings\Martien Thomas\Application Data\MySpace 2007-12-21 12:43 . 2007-12-29 21:56 d-------- C:\Program Files\rFactor 2007-12-21 12:34 . 2007-12-21 12:34 d-------- C:\rFactor 2007-12-19 18:29 . 2007-12-19 18:29 d-------- C:\ClicAndGo 2007-12-17 18:03 . 2007-12-17 18:03 d-------- C:\Program Files\GP4 Tweaker 2007-12-17 17:24 . 2007-12-17 17:39 d-------- C:\Program Files\ZaZ Gp4 tools 2007-12-17 16:23 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll 2007-12-17 16:23 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll 2007-12-17 16:23 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll 2007-12-17 13:58 . 2007-12-28 10:55 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-17 13:58 . 2007-12-17 13:58 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-13 13:50 . 2007-12-13 13:50 244 --ah----- C:\sqmnoopt03.sqm 2007-12-13 13:50 . 2007-12-13 13:50 232 --ah----- C:\sqmdata03.sqm 2007-12-06 22:22 . 2007-12-29 21:19 d-------- C:\Program Files\DivX 2007-12-04 12:09 . 2007-12-04 12:09 d-------- C:\Documents and Settings\Martien Thomas\Application Data\DassaultSystemes 2007-11-16 22:12 . 2007-11-16 22:13 d-------- C:\Program Files\PDFCreator 2007-11-16 22:12 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL 2007-11-16 22:12 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX 2007-11-16 22:12 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll 2007-11-16 22:12 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL 2007-11-16 22:12 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL 2007-11-09 19:19 . 2007-11-09 19:19 244 --ah----- C:\sqmnoopt02.sqm 2007-11-09 19:19 . 2007-11-09 19:19 232 --ah----- C:\sqmdata02.sqm 2007-11-08 19:27 . 2007-11-08 19:27 244 --ah----- C:\sqmnoopt01.sqm 2007-11-08 19:27 . 2007-11-08 19:27 232 --ah----- C:\sqmdata01.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-30 12:34 81,984 ----a-w C:\WINDOWS\system32\bdod.bin 2007-12-29 20:16 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2007-12-29 20:16 --------- d-----w C:\Program Files\Apoint2K 2007-12-29 19:55 --------- d-----w C:\Program Files\FlashGet 2007-12-29 18:16 --------- d-----w C:\Program Files\MessengerPlus! 3 2007-12-29 12:29 --------- d-----w C:\Documents and Settings\Martien Thomas\Application Data\LimeWire 2007-12-29 12:01 --------- d-----w C:\Program Files\SolidWorks (2) 2007-12-29 10:19 --------- d-----w C:\Documents and Settings\Martien Thomas\Application Data\SolidWorks 2007-12-16 19:16 --------- d-----w C:\Program Files\Infogrames 2007-12-04 14:22 --------- d-----w C:\Program Files\Wanadoo 2007-12-04 11:09 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\DassaultSystemes 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-01 13:25 17,134 ----a-w C:\WINDOWS\system32\PCANDIS5.sys 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll 2007-09-01 10:33 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-04-18 10:58 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2007-03-19 12:24 7,168 -csha-w C:\Program Files\Thumbs.db 2006-11-02 21:18 14 -c--a-w C:\Documents and Settings\Thomas\getfile.dat 2005-07-02 17:42 8 -c--a-w C:\Documents and Settings\Thomas\Application Data\usb.dat.bin 2005-04-26 01:23 0 -c--a-w C:\Documents and Settings\Thomas\Application Data\wklnhst.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76F262CF-0308-0FB4-F7A3-043266F3A47C}] C:\Program Files\Ganagwub\fueuylrv.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{94156686-E139-4F01-B70A-B2AA158AAEBD}] C:\WINDOWS\system32\ssqpm.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DB0B918E-A0A8-482B-8D75-A682816B0C7B}] 2007-12-29 13:08 40448 --ah----- C:\WINDOWS\system32\cbxxvvw.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe] "Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [] "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [] "Flashget"="C:\PROGRA~1\FlashGet\flashget.exe" [] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{DB0B918E-A0A8-482B-8D75-A682816B0C7B}"= C:\WINDOWS\system32\cbxxvvw.dll [2007-12-29 13:08 40448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxxvvw] cbxxvvw.dll 2007-12-29 13:08 40448 C:\WINDOWS\system32\cbxxvvw.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASocksrv] SocksA.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\QuickTime\qttask.exe -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2005-04-13 02:48 36975 --a------ C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager] C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe /r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe S3 GcKernel;Pilote de filtre Microsoft SideWinder Value Add;C:\WINDOWS\system32\DRIVERS\GcKernel.sys [2004-08-03 22:08] S3 HIDSwvd;Minipilote de périphérique Microsoft SideWinder HID virtuel;C:\WINDOWS\system32\DRIVERS\HIDSwvd.sys [2001-08-17 21:02] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66e93aa4-bf57-11db-9bf4-000b6b9a5604}] \Shell\AutoRun\command - E:\LaunchU3.exe -a . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-11-23 06:05:00 C:\WINDOWS\Tasks\Nouvelle Tâche.job" . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-30 13:38:02 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\sockspy.dll PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180] -> C:\WINDOWS\system32\sockspy.dll PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156] -> C:\WINDOWS\system32\sockspy.dll . Completion time: 2007-12-30 13:43:37 - machine was rebooted . 2007-12-30 08:53:32 --- E O F ---

Karty40 · Answer

J'ai essayé de faire comme tu m'as dis LePsy voilà le résultat :

Impossible de supprimer cbxxvvw.dll : Impossible de lire à partir du ficher ou de la disquette source...

:(

LePsy · Answer

laisse moi réfléchir un peu et analyser ton dernier rapport

Karty40 · Answer

Du nouveau docteur ? :o(

LePsy · Answer

j'ai fais une pause déjeuner, sorry,
mais je suis toujours la; ce que tu vas faire en attendant la suite, tu vas supprimer les fichiers de restauration de windows afin d'éliminer toutes dupplication de mauvaises petites bêtes;
je reviens dans 5 minutes pour ton rapport

LePsy · Answer

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll 
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Program Files\Ganagwub\fueuylrv.dll (file missing) 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\system32\cbxxvvw.dll 
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - file://C:\Documents and Settings\Invite\Local Settings\Application Data\Oberon Media\Oberon Games Host\popcaploader_v6.cab
O20 - Winlogon Notify: cbxxvvw - C:\WINDOWS\SYSTEM32\cbxxvvw.dll 
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

ALORS " KARTY 40 " , ci dessus, tout un tas de ligne qui en terme plus clair renvoie vers der VIRUS genre " fouille merde " et qui sont la cause de tes problèmes;
ce que tu vas faire : tu relance HIJACKTHIS et tu fais  DO A SYSTEM SCAN ONLY : 
ensuite tu vas cocher les MEME LIGNES QUE JE VIENS DE TE COLLER CI DESSUS, il y en a 7, une fois cochées, tu clic sur FIX CHECKED et tu confirme au message d'avertissement par " OUI " , c'est bon tu  me suis: après reviens ici, il restera un ou deux petits trucs à faire, A+

Karty40 · Answer

Voilà ce que j'obtiens en essayant de supprimer ces fichiers via HijackThis 

Hijackthis is about to remove a BHO and the corresponding files from your system. Close all Internet Explorer ANd all Windows Explorer windows before continuing for the best chance of success.

Il reste les lignes :

O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\system32\cbxxvvw.dll 
O20 - Winlogon Notify: cbxxvvw - C:\WINDOWS\SYSTEM32\cbxxvvw.dll
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe 

Voilà.....


( processus : explorer.exe terminé lors de la manip et aucun explorer internet ouvert... )

LePsy · Answer

alors ferme INTERNET EXPLORER et tous tes autres programmes et retente de supprimer ces lignes, je t'attends !

Karty40 · Answer

Même toutes les applications fermées, la manip ne fonctionne pas !!! :os

Regis59 · Answer

Salut,

Attention...

Un service, une 023, fixer ne sert a rien, il faut supprimer le fichier et arreter le service.
Par contre, ne touche pas a la 023 ci dessu, cela correspond a:
http://www.castlecops.com/o23list-737.html

Pour venir a bout de cette infection, il faut cibler les fichiers dans Combofix et les supprimer soit par un Script ou soit par un logiciel de suppression comme Killbox/OtMoveIt...

A+

Karty40 · Answer

Je viens d'essayer Killbox...

Je cible le fichier infecté puis attaque la procédure d'effacement...le PC redémarre, déjà content d'avoir éradiqué ce virus, je m'appercoie qu'il est toujours la...je commence à perdre espoir!!! Ne serait-ce pas plus rapide d'en racheter un ??  :@

Regis59 · Answer

lol Non.

Mets un nouveau rapport Combofix et t'indique la procédure.

A+

Karty40 · Answer

ComboFix 07-12-21.4 - Martien Thomas 2007-12-30 16:09:34.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.500 [GMT 1:00] Running from: C:\Documents and Settings\Martien Thomas\Bureau\ComboFix.exe . [color=purple]The following files were disabled during the run:[/color] C:\WINDOWS\system32\sockspy.dll (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\PerfInfo C:\WINDOWS\PerfInfo\AQ1VvkbAfnuc.exe C:\WINDOWS\PerfInfo\AQ1VvkbAfnud.exe C:\WINDOWS\system32\sstqp.dll C:\WINDOWS\system32\vtstu.dll . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-30 )))))))))))))))))))))))))))))))))))) . 2007-12-30 12:10 . 2007-12-30 12:10 997 --a------ C:\WINDOWS\system32\sstqn.dll 2007-12-30 11:27 . 2007-12-30 11:27 d-------- C:\Program Files\Trend Micro 2007-12-30 10:54 . 2007-12-30 11:23 d-------- C:\Program Files\Navilog1 2007-12-30 10:48 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-12-30 10:48 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2007-12-30 09:51 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2007-12-30 09:51 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2007-12-30 09:51 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2007-12-30 09:51 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-12-30 09:51 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-12-30 09:51 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2007-12-30 09:51 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2007-12-30 09:51 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-12-30 09:51 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-12-30 09:47 . 2007-12-30 09:52 d-------- C:\WINDOWS\system32\fr-fr 2007-12-30 07:27 . 2007-12-30 07:27 997 --a------ C:\WINDOWS\system32\pmnlm.dll 2007-12-30 06:27 . 2007-12-30 06:27 997 --a------ C:\WINDOWS\system32\geebb.dll 2007-12-30 05:27 . 2007-12-30 05:27 997 --a------ C:\WINDOWS\system32\vtstr.dll 2007-12-30 04:27 . 2007-12-30 04:27 997 --a------ C:\WINDOWS\system32\awvvt.dll 2007-12-30 03:27 . 2007-12-30 03:27 997 --a------ C:\WINDOWS\system32\ddabc.dll 2007-12-30 01:32 . 2007-12-30 01:32 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-12-30 00:51 . 2007-12-30 00:51 d-------- C:\Program Files\MSXML 4.0 2007-12-30 00:09 . 2007-12-30 00:09 997 --a------ C:\WINDOWS\system32\mljge.dll 2007-12-29 20:29 . 2007-12-30 15:54 d-------- C:\VundoFix Backups 2007-12-29 19:16 . 2007-12-29 19:16 15 --a------ C:\WINDOWS\system32\[u]0[/u]8db4dc5 2007-12-29 19:14 . 2007-12-29 19:14 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe 2007-12-29 13:09 . 2007-12-29 13:09 d-------- C:\WINDOWS\ppqvmpqr 2007-12-29 13:09 . 2007-12-29 20:54 d-------- C:\Program Files\Ganagwub 2007-12-29 13:09 . 2007-12-29 13:09 208,896 --a------ C:\WINDOWS\system32\ndaTqsVqrX.dll 2007-12-29 13:08 . 2007-12-29 13:08 40,448 --ah----- C:\WINDOWS\system32\cbxxvvw.dll 2007-12-28 00:11 . 2007-12-28 00:11 d-------- C:\Documents and Settings\Martien Thomas\Application Data\MySpace 2007-12-21 12:43 . 2007-12-29 21:56 d-------- C:\Program Files\rFactor 2007-12-21 12:34 . 2007-12-21 12:34 d-------- C:\rFactor 2007-12-19 18:29 . 2007-12-19 18:29 d-------- C:\ClicAndGo 2007-12-17 18:03 . 2007-12-17 18:03 d-------- C:\Program Files\GP4 Tweaker 2007-12-17 17:24 . 2007-12-17 17:39 d-------- C:\Program Files\ZaZ Gp4 tools 2007-12-17 16:23 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll 2007-12-17 16:23 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll 2007-12-17 16:23 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll 2007-12-17 13:58 . 2007-12-28 10:55 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-17 13:58 . 2007-12-17 13:58 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-13 13:50 . 2007-12-13 13:50 244 --ah----- C:\sqmnoopt03.sqm 2007-12-13 13:50 . 2007-12-13 13:50 232 --ah----- C:\sqmdata03.sqm 2007-12-06 22:22 . 2007-12-29 21:19 d-------- C:\Program Files\DivX 2007-12-04 12:09 . 2007-12-04 12:09 d-------- C:\Documents and Settings\Martien Thomas\Application Data\DassaultSystemes 2007-11-16 22:12 . 2007-11-16 22:13 d-------- C:\Program Files\PDFCreator 2007-11-16 22:12 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL 2007-11-16 22:12 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX 2007-11-16 22:12 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll 2007-11-16 22:12 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL 2007-11-16 22:12 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL 2007-11-09 19:19 . 2007-11-09 19:19 244 --ah----- C:\sqmnoopt02.sqm 2007-11-09 19:19 . 2007-11-09 19:19 232 --ah----- C:\sqmdata02.sqm 2007-11-08 19:27 . 2007-11-08 19:27 244 --ah----- C:\sqmnoopt01.sqm 2007-11-08 19:27 . 2007-11-08 19:27 232 --ah----- C:\sqmdata01.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-30 15:15 81,984 ----a-w C:\WINDOWS\system32\bdod.bin 2007-12-30 14:00 --------- d-----w C:\Program Files\FlashGet 2007-12-29 20:16 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2007-12-29 20:16 --------- d-----w C:\Program Files\Apoint2K 2007-12-29 18:16 --------- d-----w C:\Program Files\MessengerPlus! 3 2007-12-29 12:29 --------- d-----w C:\Documents and Settings\Martien Thomas\Application Data\LimeWire 2007-12-29 12:01 --------- d-----w C:\Program Files\SolidWorks (2) 2007-12-29 10:19 --------- d-----w C:\Documents and Settings\Martien Thomas\Application Data\SolidWorks 2007-12-16 19:16 --------- d-----w C:\Program Files\Infogrames 2007-12-04 14:22 --------- d-----w C:\Program Files\Wanadoo 2007-12-04 11:09 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\DassaultSystemes 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-01 13:25 17,134 ----a-w C:\WINDOWS\system32\PCANDIS5.sys 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll 2007-09-01 10:33 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-04-18 10:58 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2007-03-19 12:24 7,168 -csha-w C:\Program Files\Thumbs.db 2006-11-02 21:18 14 -c--a-w C:\Documents and Settings\Thomas\getfile.dat 2005-07-02 17:42 8 -c--a-w C:\Documents and Settings\Thomas\Application Data\usb.dat.bin 2005-04-26 01:23 0 -c--a-w C:\Documents and Settings\Thomas\Application Data\wklnhst.dat . ((((((((((((((((((((((((((((( snapshot@2007-12-30_13.41.04.32 ))))))))))))))))))))))))))))))))))))))))) . - 2007-12-30 11:10:07 62,712 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-12-30 15:04:53 62,712 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-12-30 11:10:07 75,704 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2007-12-30 15:04:53 75,704 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2007-12-30 11:10:07 401,398 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-12-30 15:04:53 401,398 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-12-30 11:10:07 468,728 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-12-30 15:04:53 468,728 ----a-w C:\WINDOWS\system32\perfh00C.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DB0B918E-A0A8-482B-8D75-A682816B0C7B}] 2007-12-29 13:08 40448 --ah----- C:\WINDOWS\system32\cbxxvvw.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe] "Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [] "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [] "Flashget"="C:\PROGRA~1\FlashGet\flashget.exe" [] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{DB0B918E-A0A8-482B-8D75-A682816B0C7B}"= C:\WINDOWS\system32\cbxxvvw.dll [2007-12-29 13:08 40448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxxvvw] cbxxvvw.dll 2007-12-29 13:08 40448 C:\WINDOWS\system32\cbxxvvw.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=sockspy.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASocksrv] SocksA.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\QuickTime\qttask.exe -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2005-04-13 02:48 36975 --a------ C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager] C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe /r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe S3 GcKernel;Pilote de filtre Microsoft SideWinder Value Add;C:\WINDOWS\system32\DRIVERS\GcKernel.sys [2004-08-03 22:08] S3 HIDSwvd;Minipilote de périphérique Microsoft SideWinder HID virtuel;C:\WINDOWS\system32\DRIVERS\HIDSwvd.sys [2001-08-17 21:02] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66e93aa4-bf57-11db-9bf4-000b6b9a5604}] \Shell\AutoRun\command - E:\LaunchU3.exe -a . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-11-23 06:05:00 C:\WINDOWS\Tasks\Nouvelle Tâche.job" - C:\Documents and Settings\Martien Thomas\Mes documents\Kleerup Feat Robyn - With Every Heart beat.mp3 . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-30 16:19:57 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\cbxxvvw.dll . Completion time: 2007-12-30 16:23:45 . 2007-12-30 08:53:32 --- E O F ---

Regis59 · Answer

Re,

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\system32\sstqn.dll
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\geebb.dll
C:\WINDOWS\system32\vtstr.dll
C:\WINDOWS\system32\awvvt.dll
C:\WINDOWS\system32\ddabc.dll 
C:\WINDOWS\system32\mljge.dll 
C:\WINDOWS\system32\cbxxvvw.dll 


Folder::
C:\Program Files\jmtcngpc
C:\Program Files\Ganagwub

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{DB0B918E-A0A8-482B-8D75-A682816B0C7B}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\cbxxvvw]


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture:
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
[*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) ,tape 1 puis valide.
[*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt.

Ajoute également un nouveau rapport HijackThis.

A+

Karty40 · Answer

Voila pour le rapport Combofix ComboFix 07-12-21.4 - Martien Thomas 2007-12-30 17:29:02.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.443 [GMT 1:00] Running from: C:\Documents and Settings\Martien Thomas\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Martien Thomas\Bureau\CFScript.txt * Created a new restore point FILE C:\WINDOWS\system32\awvvt.dll C:\WINDOWS\system32\cbxxvvw.dll C:\WINDOWS\system32\ddabc.dll C:\WINDOWS\system32\geebb.dll C:\WINDOWS\system32\mljge.dll C:\WINDOWS\system32\pmnlm.dll C:\WINDOWS\system32\sstqn.dll C:\WINDOWS\system32\vtstr.dll . [color=purple]The following files were disabled during the run:[/color] C:\WINDOWS\system32\sockspy.dll (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\Ganagwub C:\WINDOWS\system32\awvvt.dll C:\WINDOWS\system32\cbxxvvw.dll C:\WINDOWS\system32\ddabc.dll C:\WINDOWS\system32\geebb.dll C:\WINDOWS\system32\mljge.dll C:\WINDOWS\system32\pmnlm.dll C:\WINDOWS\system32\sstqn.dll C:\WINDOWS\system32\vtstr.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-28 to 2007-12-30 )))))))))))))))))))))))))))))))))))) . 2007-12-30 17:43 . 2007-12-30 17:43 d-------- C:\WINDOWS\PerfInfo 2007-12-30 11:27 . 2007-12-30 11:27 d-------- C:\Program Files\Trend Micro 2007-12-30 10:54 . 2007-12-30 11:23 d-------- C:\Program Files\Navilog1 2007-12-30 10:48 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-12-30 10:48 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2007-12-30 09:51 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll 2007-12-30 09:51 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2007-12-30 09:51 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2007-12-30 09:51 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-12-30 09:51 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-12-30 09:51 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll 2007-12-30 09:51 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll 2007-12-30 09:51 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-12-30 09:51 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-12-30 09:47 . 2007-12-30 09:52 d-------- C:\WINDOWS\system32\fr-fr 2007-12-30 01:32 . 2007-12-30 01:32 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2007-12-30 00:51 . 2007-12-30 00:51 d-------- C:\Program Files\MSXML 4.0 2007-12-29 20:29 . 2007-12-30 15:54 d-------- C:\VundoFix Backups 2007-12-29 19:16 . 2007-12-29 19:16 15 --a------ C:\WINDOWS\system32\[u]0[/u]8db4dc5 2007-12-29 19:14 . 2007-12-29 19:14 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe 2007-12-29 13:09 . 2007-12-29 13:09 d-------- C:\WINDOWS\ppqvmpqr 2007-12-29 13:09 . 2007-12-29 13:09 208,896 --a------ C:\WINDOWS\system32\ndaTqsVqrX.dll 2007-12-28 00:11 . 2007-12-28 00:11 d-------- C:\Documents and Settings\Martien Thomas\Application Data\MySpace 2007-12-21 12:43 . 2007-12-29 21:56 d-------- C:\Program Files\rFactor 2007-12-21 12:34 . 2007-12-21 12:34 d-------- C:\rFactor 2007-12-19 18:29 . 2007-12-19 18:29 d-------- C:\ClicAndGo 2007-12-17 18:03 . 2007-12-17 18:03 d-------- C:\Program Files\GP4 Tweaker 2007-12-17 17:24 . 2007-12-17 17:39 d-------- C:\Program Files\ZaZ Gp4 tools 2007-12-17 16:23 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll 2007-12-17 16:23 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll 2007-12-17 16:23 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll 2007-12-17 16:23 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll 2007-12-17 13:58 . 2007-12-28 10:55 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-17 13:58 . 2007-12-17 13:58 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-13 13:50 . 2007-12-13 13:50 244 --ah----- C:\sqmnoopt03.sqm 2007-12-13 13:50 . 2007-12-13 13:50 232 --ah----- C:\sqmdata03.sqm 2007-12-06 22:22 . 2007-12-29 21:19 d-------- C:\Program Files\DivX 2007-12-04 12:09 . 2007-12-04 12:09 d-------- C:\Documents and Settings\Martien Thomas\Application Data\DassaultSystemes 2007-11-16 22:12 . 2007-11-16 22:13 d-------- C:\Program Files\PDFCreator 2007-11-16 22:12 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL 2007-11-16 22:12 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX 2007-11-16 22:12 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll 2007-11-16 22:12 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL 2007-11-16 22:12 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL 2007-11-09 19:19 . 2007-11-09 19:19 244 --ah----- C:\sqmnoopt02.sqm 2007-11-09 19:19 . 2007-11-09 19:19 232 --ah----- C:\sqmdata02.sqm 2007-11-08 19:27 . 2007-11-08 19:27 244 --ah----- C:\sqmnoopt01.sqm 2007-11-08 19:27 . 2007-11-08 19:27 232 --ah----- C:\sqmdata01.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-30 14:00 --------- d-----w C:\Program Files\FlashGet 2007-12-29 20:16 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2007-12-29 20:16 --------- d-----w C:\Program Files\Apoint2K 2007-12-29 18:16 --------- d-----w C:\Program Files\MessengerPlus! 3 2007-12-29 12:29 --------- d-----w C:\Documents and Settings\Martien Thomas\Application Data\LimeWire 2007-12-29 12:01 --------- d-----w C:\Program Files\SolidWorks (2) 2007-12-29 10:19 --------- d-----w C:\Documents and Settings\Martien Thomas\Application Data\SolidWorks 2007-12-16 19:16 --------- d-----w C:\Program Files\Infogrames 2007-12-04 14:22 --------- d-----w C:\Program Files\Wanadoo 2007-12-04 11:09 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\DassaultSystemes 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-04-18 10:58 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2007-03-19 12:24 7,168 -csha-w C:\Program Files\Thumbs.db 2006-11-02 21:18 14 -c--a-w C:\Documents and Settings\Thomas\getfile.dat 2005-07-02 17:42 8 -c--a-w C:\Documents and Settings\Thomas\Application Data\usb.dat.bin 2005-04-26 01:23 0 -c--a-w C:\Documents and Settings\Thomas\Application Data\wklnhst.dat . ((((((((((((((((((((((((((((( snapshot@2007-12-30_13.41.04.32 ))))))))))))))))))))))))))))))))))))))))) . - 2007-12-30 12:34:56 81,984 ----a-w C:\WINDOWS\system32\bdod.bin + 2007-12-30 16:42:19 81,984 ----a-w C:\WINDOWS\system32\bdod.bin - 2007-12-30 11:10:07 62,712 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-12-30 15:04:53 62,712 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-12-30 11:10:07 75,704 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2007-12-30 15:04:53 75,704 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2007-12-30 11:10:07 401,398 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-12-30 15:04:53 401,398 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-12-30 11:10:07 468,728 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-12-30 15:04:53 468,728 ----a-w C:\WINDOWS\system32\perfh00C.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32\rundll32.exe] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASocksrv] SocksA.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\QuickTime\qttask.exe -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2005-04-13 02:48 36975 --a------ C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager] C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe /r [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66e93aa4-bf57-11db-9bf4-000b6b9a5604}] \Shell\AutoRun\command - E:\LaunchU3.exe -a . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-11-23 06:05:00 C:\WINDOWS\Tasks\Nouvelle Tâche.job" . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-30 17:43:52 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . Completion time: 2007-12-30 17:47:33 - machine was rebooted C:\ComboFix2.txt ... 2007-12-30 16:23 . 2007-12-30 08:53:32 --- E O F ---

Karty40 · Answer

Après vérifications faites avec BitDefender, le fichier infecté est supprimé !! Ouf....

Seulement voilà, d'autres fichiers se sont installés sur mon PC lorsque je lancais les Navilog, et autres programmes....

- catchme.zip
- catchme.zip.b05348

...je n'arrive plus à les supprimer !!! :s

LePsy · Answer

t'as vraiment pas de chance, toi !
ils sont ces fichiers ?

Karty40 · Answer

Ces fichiers sont sur le bureau !! Leur provenance...... je sais pas trop !!

LePsy · Answer

après recherche, il s'agit d'un virus !
de quoi ! c'est la merde !
t'as bien raison.
Fais un scan en mode sans echec avec kasperky internet security, il me semble que tu l'as en version démo !

Karty40 · Answer

Qu'est est le but de ce virus cette fois ci ???

Regis59 · Answer

Salut

Ils font partis de combofix !
Supprime ceci:

C:\WINDOWS\PerfInfo
C:\WINDOWS\ppqvmpqr 

Puis;

Vas sur le site https://virusscan.jotti.org/ 
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : 
C:\WINDOWS\system32\08db4dc5
- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799

Et enfin:

Fais un clic droit sur ce lien :
http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

A+

Karty40 · Answer

Le Scan est en cours.....pour ce qui est des fichiers, s'ils proviennent de ComboFix.....alors Combofix est infecté ? Ou c'est lui même un virus ? C'est à n'y plus rien comprendre....on combats des virus par des virus ? C'est pire que de la chimie ou de la médecine ces trucs la !!!


Voila le résultat :

Last file scanned at least one scanner reported something about: Cobain_Backup.rar (MD5: 4f6c4e93f9f477c23c309e81b18089f8, size: 2333752 bytes), detected by:

Scanner 	             Malware name
A-Squared 	           X
AntiVir 	               SPR/Ardamax.K.Gen
ArcaVir 	              Trojan.Dropper.Agent.Bgx
Avast 	                      Win32:Agent-KXV
AVG Antivirus 	          X
BitDefender 	           Trojan.Dropper.Agent.BGX
ClamAV 	                     Bat.Killav-6
CPsecure 	            X
Dr.Web 	                    BACKDOOR.Trojan
F-Prot Antivirus 	 X
F-Secure Anti-Virus   Backdoor.Win32.Bifrose.blr
Fortinet 	              W32/Agent.DRP!tr
Ikarus 	                      Trojan-Dropper.Win32.Agent.bgx
Kaspersky Anti-Virus Backdoor.Win32.Bifrose.blr
NOD32 	                    Win32/TrojanDropper.Delf.NEQ
Norman Virus Control 	X
Panda Antivirus 	Bck/IRCbot.ASM
Rising Antivirus 	  Dropper.Win32.Agent.bgx
Sophos Antivirus 	X
VirusBuster 	          Backdoor.Bifrose.ACN
VBA32 	                    Backdoor.Win32.Bifrose.blr


 Scan taken on 30 Dec 2007 17:40:33 (GMT)
A-Squared 	
Found nothing
AntiVir 	
Found nothing
ArcaVir 	
Found nothing
Avast 	
Found nothing
AVG Antivirus 	
Found nothing
BitDefender 	
Found nothing
ClamAV 	
Found nothing
CPsecure 	
Found nothing
Dr.Web 	
Found nothing
F-Prot Antivirus 	
Found nothing
F-Secure Anti-Virus 	
Found nothing
Fortinet 	
Found nothing
Ikarus 	
Found nothing
Kaspersky Anti-Virus 	
Found nothing
NOD32 	
Found nothing
Norman Virus Control 	
Found nothing
Panda Antivirus 	
Found nothing
Rising Antivirus 	
Found nothing
Sophos Antivirus 	
Found nothing
VirusBuster 	
Found nothing
VBA32 	
Found nothing

LePsy · Answer

NON t'inquiète pas et fais confiance à Régis59, mais le scan n'est de toutes façon PAS INUTILE après tout ça !

Karty40 · Answer

Résultat du rapport de Navilog...

Search Navipromo version 3.3.8 commencé le 30/12/2007 à 18:51:17,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Martien Thomas\application data" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Martien Thomas\local settings\application data" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Martien Thomas\local settings\application data" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 30/12/2007 à 19:04:48,89 ***

Regis59 · Answer

LOL Non on ne combat pas un virus par un virus.
En fait, l'antivirus détecte souvent un comportement étrange et le considere comme infecté, c'est un faux positif. Parfois, l'antivirus détecte un fichier dans une quarantaine, mais le fichier est neutralisé.
Rassures toi, combofix n'est pas infecté.

Remet un Nouvel HijackThis et dis moi si les deux fichiers qui devaient etre supprimés l'ont bien été.

A+

LePsy · Answer

heureusement que t'es là Régis59, sans ironie !

Regis59 · Answer

Ah bon pourquoi? Bha j'essaie d'aider selon mes moyens c'est tout.

Karty40 · Answer

Si tu parles des fichiers  " cbxxvvw.dll " oui ils ont été supprimés et ne figurent plus sur le listing que sort HijackThis...

si tu parles des fichiers "Catchme" sur le bureau...ils sont toujours en place !!!

LePsy · Answer

oui d'accord, seulement en voulant aller vite, vu que je suis sur plusieurs problème en même temps, je considère un peu trop vite ce qui peut apparaitre comme mauvais, voila, c'est tout

Regis59 · Answer

Non au message #23,  je disais:

Supprime ceci:

C:\WINDOWS\PerfInfo
C:\WINDOWS\ppqvmpqr 

Remet un Nouvel HijackThis et dis moi si les deux fichiers qui devaient etre supprimés l'ont bien été.

A+

Karty40 · Answer

Ces fichiers n'apparaissent pas dans le scan de HijackThis ni sur le C:\ donc ils ont été supprimés oui !!

Regis59 · Answer

Ok un nouvel Hijackthis !

Tu as toujours des alertes de ton AV?

A+

Karty40 · Answer

Je n'ai plus d'alertes de quel ordre que ce soit....mais

les fichiers " Catchme " sur le bureau sont toujours là....

....mais c'est déjà un grand pas!! Je voulais surtout me débarraser de Vundo !!!

Karty40 · Answer

Petite information concernant le fichier ppqvmpqr .....Internet Explorer m'indique qu'il ne trouve plus le fichier ( le pop-up j'imagine ) ... y a t-il un moyen d'enlever ceci ?

Regis59 · Answer

Ca fait trois fois que je te demande un nouveau Hijackthis...

Karty40 · Answer

Voilà !!! Sorry !!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:51, on 30/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Softwin\BitDefender10\bdmcon .exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKLM\..\Policies\Explorer\Run: [AQ1VvkbAfn] rundll32.exe "C:\WINDOWS\system32
daTqsVqrX.dll",DllCleanServer
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin
pjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satelliteaysat_3dsmax9_32server.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Regis59 · Answer

Re,

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

O4 - HKLM\..\Policies\Explorer\Run: [AQ1VvkbAfn] rundll32.exe "C:\WINDOWS\system32
daTqsVqrX.dll",DllCleanServer 

Ferme HijackThis.

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32
daTqsVqrX.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

A+

Trojan.vundo

39 réponses

Newsletters