infection par EM--PC et FM-PCRésolu/Fermé

Question

Bonjour,
ça faitr quelques temps que je me retrouve avec des fenetre type "votre pc est infecté ...." ( avec une addresse fm.pc-on-internet.com ou em.pc-on-internet.com)

aprés une coutre recherche sur le site de comment-ça-marche j'ai lu que d'autres internautes ont subit le même problème 

j'ai donc Dl Navilog1 et procédé a un scan je me permet de vous donner le rapport :






Search Navipromo version 3.5.7 commencé le 01/06/2008 à 16:32:14,82

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Shall" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Shall\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Shall\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Shall\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

!! Fichier(s)/processus caché(s) différent(s) !!
!! Résultat Catchme non pris en compte par Navilog1 !!

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Shall\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Shall\locals~1\applic~1" : 

ymqsuc.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\MoXHknmp.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 01/06/2008 à 16:33:43,09 ***




de plus j'ai voulu installé Hijack-this seul souci je me retrouve avec un fichier dll manquant (MSVBVM60.DLL)

du coup le programme ne s'intalle pas et aucun moyen de faire un scan 

merci d'avance pour vos réponses

Utilisateur anonyme · Answer

Bonjour,

Télécharge MSVBVM60.DLL ici :
https://www.clubic.com/telecharger-fiche13454-bibliotheques-msvbvm60-dll.html
Renomme la en MSVBVM60.DLL
Place la dll dans C:\Windows\System32



Ensuite,
Double-clique sur le raccourci Navilog1 et laisse-toi guider.
Au menu principal, choisis l'option 2 et valide par ENTREE.

Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.

(si ton PC ne redémarre pas automatiquement, redémarre-le normalement)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc-note va s'ouvrir.
Sauvegarde le rapport à la racine de ton disque dur (C:\)
Referme le blocnote. Ton bureau va réapparaître.
Poste le rapport

PS :
Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Clique sur fichier et choisis Exécuter
Tape explorer.exe et valide. Ton bureau va réapparaître.



Clique sur Démarrer
Clique sur Panneau de configuration
Clique sur Options Internet
Positionne-toi dans l'onglet Contenu > puis dans l'onglet Certificats
Si tu trouves ces certificats :

electronic-group
egroup
Montorgueil
VIP
Sunny Day Design Ltd
OOO-Favorit

Supprime-les ! Et seulement ceux-là ! 
Redémarre ton PC.


Puis,
Télécharge HijackThis
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Installe le à la racine de ton disque dur
Lance HijackThis en double-cliquant sur l'icône HijackThis
Clique sur Do a system Scan only and Save a Logfile
Un rapport sera généré dans le bloc-note (le rapport est également situé ici : C:\hijackthis.log)
Copie/colle le rapport dans ton prochain message.

shalgram · Answer

tout d'abord merci de ta réponse

j'ai regardé dans les options internet et je n'y ai pas trouvé les certificats que tu m'as cité 

je suppose que navilog1 a fait le travaille a ma place 

je place ici le rapport du scan effectué au démarrage 

Clean Navipromo version 3.5.7 commencé le 01/06/2008 à 17:04:23,15

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Shall" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Shall\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Shall\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Shall\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Shall\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Shall\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Shall\locals~1\applic~1" * 

ymqsuc.dat trouvé !
Copie ymqsuc.dat réalisée avec succès !
ymqsuc.dat supprimé !

ymqsuc_nav.dat trouvé !
Copie ymqsuc_nav.dat réalisée avec succès !
ymqsuc_nav.dat supprimé !

ymqsuc_navps.dat trouvé !
Copie ymqsuc_navps.dat réalisée avec succès !
ymqsuc_navps.dat supprimé !

ymqsuc.exe trouvé !
Copie ymqsuc.exe réalisée avec succès !
ymqsuc.exe supprimé !


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 01/06/2008 à 17:09:11,25 ***

shalgram · Answer

désolé pour le double poste mais pour plus de lisibilité voici le rapport fait par hijack-this

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:14:41, on 01/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device 

Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender 

Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan 

Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update 

Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SOUNDMAN.EXE
J:\Zone Labs\ZoneAlarm\zlclient.exe
I:\Itunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Fichiers communs\Real\Update_OBnathchk.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
J:\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 

http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 

https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

http://melanthios-ana.com/zcvisitor/1624d318-3614-11eb-87b9-12a1ab6c324d/72092e88-2c53-401c-b988-51ef43ce1034?campaignid=47f83760-f118-11ea-9bc8-0ac2bbf4ada7
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = 

http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = 

https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet 

Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName 

= 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - 

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program 

Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - 

{02478d38-c3f9-4efb-9b51-7695eca05670} - C:\Program 

Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - 

{06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - C:\Program Files\Fichiers 

communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {32A2C746-6172-4B47-9982-065DAB3AE556} - (no 

file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - 

{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - 

{53707962-6F74-2D53-2644-206D7942484F} - I:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - 

C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7e853d72-626a-48ec-a868-ba8d5e23e045} - (no 

file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - 

{9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files\Fichiers 

communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - 

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program 

Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "J:\Zone 

Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program 

Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "I:\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers 

communs\Real\Update_OBealsched.exe -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] 

"J:\acrobatereader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE 

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE 

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program 

Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program 

Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program 

Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows 

Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "J:\DAEMON Tools Lite\daemon.exe" 

-autorun
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd 

(User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y 

"%SystemRoot%\System32\syssetub.dll" 

"%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] 

%systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd 

(User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd 

(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd 

(User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 

Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - 

C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - 

{85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - 

I:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - 

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\SPYBOT~1\SDHelper.dll
O16 - DPF: {0eb0e74a-2a76-4ab3-a7fb-9bd8c29f7f75} (CKAVWebScan Object) 

- https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {2d8ed06d-3c30-438b-96ae-4d110fdc1fb8} (ActiveScan 2.0 

Installer Class) - 

http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) 

- C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5d86ddb5-bdf9-441b-9e9e-d4730f4ee499} (BDSCANONLINE 

Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - 

https://www.trendmicro.com/en_us/forHome/products/housecall.html

housecall/xscan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime 

Environment 1.6.0) - 

https://sdlc-esd.oracle.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u5-windows-i586-jc.cab&AuthParam=1580944752_ad714b48b0d186f5adbe4ba05260ecbd&ext=.cab
O20 - Winlogon Notify: byXPfcbx - byXPfcbx.dll (file missing)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program 

Files\Fichiers communs\Apple\Mobile Device 

Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - 

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan 

Server\bdss.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - 

C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - 

Unknown owner - C:\Program Files\NVIDIA 

Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe 

(file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - 

C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN 

S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update 

Service\livesrv.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - 

C:\Program Files\NVIDIA 

Corporation\NetworkAccessManager\bin
SvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA 

Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - 

I:\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - 

I:\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - 

C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - 

C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - 

C:\Program Files\Fichiers communs\Softwin\BitDefender 

Communicator\xcommsvr.exe

Utilisateur anonyme · Answer

# Télécharge GenProc sur ton bureau
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
# Dézippe-le (clique-droit > Extraire ici)
# Ouvre le nouveau dossier crée et clique sur genproc.bat
# Copie/colle le rapport
Aide en images :
http://www.alt-shift-return.org/Info/GenProc-HowTo.html

shalgram · Answer

merci encore 12.eleven

voici le rapport Genproc

Rapport GenProc 1.968 [1] effectué le 01/06/2008 à 17:52:57,78 - 

Windows XP  

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case 

"Effacer uniquement les fichiers, du dossier Temp de Windows, plus 

vieux que 48 heures". Par la suite, laisse-le avec ses réglages par 

défaut. C'est tout.
 
# Etape 1/ Télécharge :  
  
- VundoFix.exe (Atribune) http://www.atribune.org/ccount/click.php?id=4 

sur ton Bureau

- combofix.exe (sUBs) 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau 
 
- SDfix (Andy Manchesta) 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe  et 

sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis 

Install pour l'extraire dans  C:\. 
 
 
***** Copie la suite de la procédure dans un fichier texte et redémarre 

en mode sans échec comme indiqué ici 

https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session 

courante "Shall") ***** 
 
 
# Etape 2/ 
 
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le 

bouton "Scan for Vundo". Lorsque le scan est complété, clique sur le 

bouton "Fix Vundo", une invite te demandera si tu veux supprimer les 

fichiers, clique YES : le Bureau disparaîtra un moment lors de la 

suppression des fichiers. Tu verras une invite qui t'annonce que ton PC 

va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne 

peut supprimer. Si tel est le cas, l'outil se lancera au prochain 

redémarrage; il faut simplement suivre les instructions ci-haut, à 

partir de "clique sur le bouton Scan for Vundo

* Double clique combofix.exe. Tape sur la touche Y (Yes) pour démarrer 

le scan ; lorsque le scan sera complété, un rapport apparaîtra. 
 
# Etape 3/  
 
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et 

double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains 

trojans trouvés puis te demandera d'appuyer sur une touche pour 

redémarrer, fais-le pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car 

l'outil va continuer à s'exécuter et supprimer des fichiers. Après le 

chargement du Bureau, l'outil terminera son travail et affichera 

Finished.
Appuie sur une touche pour finir l'exécution du script et charger les 

icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et 

s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
 
# Etape 4/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 5/ 

Redémarre normalement et poste, dans la même réponse : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications 

fermées 

http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe 

; 
- Le contenu du rapport situé dans C:\vundofix.txt ; 
- Le contenu du rapport situé dans C:\Combofix.txt ; 
- Le contenu du fichier Report.txt ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) 

ainsi que l'évolution de la situation.




question trés bête : j'exéctute a la lettre ce qui est marqué sur le rapport de GenProc  ?
 
je sais ça parait idiot mais je préfaire demander avant de faire une bétise

Utilisateur anonyme · Answer

Oui à la lettre.
Dans l'ordre
Avec tous les rapports demandés ;)

Merci

shalgram · Answer

aprés avoir réaliser a la virgule prés l'ensemble des étapes voila le résultat ( merci encore pour le coup de main :) ) Vundo.fix: aucun fichier infecter détecté combofix ComboFix 08-06-01.2 - Shall 2008-06-02 10:38:16.1 - NTFSx86 MINIMAL Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.825 [GMT 2:00] Endroit: C:\Documents and Settings\Shall\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\ipV63.sys C:\WINDOWS\system32\MoXHknmp.ini C:\WINDOWS\system32\MoXHknmp.ini2 C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinNt32.dll C:\WINDOWS\system32\WLCtrl32.dll K:\Autorun.inf C:\WINDOWS\system32\WinNt32.dll . . . . Echec de suppression . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_IPV63 -------\Legacy_tcpsr -------\Legacy_YZBGQAP -------\Service_ipV63 -------\Service_tcpsr -------\Service_yzbgqap ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-02 to 2008-06-02 )))))))))))))))))))))))))))))))))))) . 2008-06-02 10:40 . 2008-06-02 10:40 12,800 --------- C:\WINDOWS\system32\WinNt32.dll 2008-06-02 10:31 . 2008-06-01 03:11 d-------- C:\SDFix 2008-06-01 21:02 . 2008-06-01 21:02 d-------- C:\VundoFix Backups 2008-06-01 17:02 . 2008-06-01 17:02 1,388,544 --a------ C:\WINDOWS\system32\MSVBVM60.DLL 2008-06-01 16:30 . 2008-06-01 17:09 d-------- C:\Program Files\Navilog1 2008-06-01 16:03 . 2008-06-01 16:03 98,304 --a------ C:\WINDOWS\system32CmdLineExt.dll 2008-06-01 15:59 . 2008-06-01 15:59 d-------- C:\Program Files\Trend Micro 2008-06-01 15:59 . 2008-06-01 15:59 396,288 --a------ C:\HijackThis.exe 2008-05-31 20:47 . 2008-05-31 20:47 d-------- C:\Documents and Settings\Shall\Application Data\Bitdefender 2008-05-31 20:45 . 2008-05-31 20:45 d-------- C:\Program Files\Softwin 2008-05-31 20:45 . 2008-05-31 20:45 d-------- C:\Documents and Settings\All Users\Application Data\BitDefender 2008-05-27 14:31 . 2008-05-27 14:31 d-------- C:\WINDOWS eport 2008-05-27 14:31 . 2008-05-27 14:30 36,240,289 --a------ C:\WINDOWS\LPT$VPN.299 2008-05-27 14:28 . 2008-05-27 14:28 d-------- C:\Documents and Settings\All Users\Application Data\Avg8 2008-05-27 13:59 . 2008-05-27 13:59 d-------- C:\Documents and Settings\Shall\Application Data\AVGTOOLBAR 2008-05-26 20:18 . 2004-08-03 19:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-05-26 20:18 . 2004-08-03 19:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-05-16 11:07 . 2008-05-31 19:43 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-05-16 11:02 . 2008-05-16 11:02 94,208 --a------ C:\WINDOWS\DIIUnin.exe 2008-05-16 11:02 . 2008-05-16 11:07 26,832 --a------ C:\WINDOWS\DIIUnin.dat 2008-05-16 11:02 . 2008-05-16 11:02 2,829 --a------ C:\WINDOWS\DIIUnin.pif 2008-05-16 09:19 . 2008-05-16 09:19 d-------- C:\Documents and Settings\Shall\Application Data\DAEMON Tools 2008-05-16 09:19 . 2008-05-16 09:19 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-05-12 22:00 . 2008-05-12 22:00 d-------- C:\Program Files\uTorrent 2008-05-12 22:00 . 2008-05-16 17:52 d-------- C:\Documents and Settings\Shall\Application Data\uTorrent 2008-05-12 20:23 . 2008-06-02 10:33 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2008-05-12 20:15 . 2008-05-31 20:45 d-------- C:\Program Files\Fichiers communs\Softwin 2008-05-12 16:49 . 2008-05-12 16:49 dr------- C:\Documents and Settings\NetworkService\Favoris 2008-05-12 15:54 . 2008-05-12 15:54 152 --a------ C:\WINDOWS\wininit.ini 2008-05-12 15:21 . 2008-05-12 15:32 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-05-12 15:03 . 2008-05-12 16:32 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-05-12 15:03 . 2008-05-12 15:03 d-------- C:\Documents and Settings\Administrateur\Application Data\PC Tools 2008-05-12 15:03 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2008-05-12 15:03 . 2008-05-12 15:19 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-05-12 15:03 . 2008-05-12 15:19 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-05-12 15:03 . 2007-10-04 17:10 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-05-12 15:03 . 2007-10-04 17:11 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-05-12 14:57 . 2008-05-12 14:57 d---s---- C:\Documents and Settings\Administrateur\UserData 2008-05-12 13:57 . 2008-05-12 13:57 d-------- C:\Documents and Settings\Shall\Application Data\Lavasoft 2008-05-12 13:45 . 2008-05-31 20:19 d-------- C:\WINDOWS\BDOSCAN8 2008-05-12 13:15 . 2008-05-12 13:15 d-------- C:\Program Files\Panda Security 2008-05-12 00:43 . 2008-05-12 00:43 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-05-12 00:39 . 2008-05-12 00:39 d-------- C:\Program Files\Yahoo! 2008-05-12 00:39 . 2008-05-12 00:40 d-------- C:\Program Files\CCleaner 2008-05-11 20:11 . 2008-05-31 19:38 28,672 --a------ C:\WINDOWS\system32\drivers\Oub38.sys 2008-05-11 20:05 . 2008-05-11 20:07 2 --a------ C:\1276077882 2008-05-11 19:59 . 2008-05-16 09:40 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll 2008-05-11 19:59 . 2008-05-16 09:40 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll 2008-05-11 19:59 . 2008-05-16 09:40 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll 2008-05-09 14:01 . 2008-05-09 14:01 d-------- C:\WINDOWS\Sun 2008-05-09 14:01 . 2008-05-09 14:01 d-------- C:\Program Files\Java 2008-05-09 14:01 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-05-09 14:00 . 2008-05-09 14:00 d-------- C:\Program Files\Fichiers communs\Java 2008-05-05 16:58 . 2008-05-05 16:58 d-------- C:\WINDOWS view 2008-05-05 16:58 . 2008-05-05 16:58 163,353 --a------ C:\WINDOWS\system32 vapps.xml 2008-05-05 16:58 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32 vdisp.nvu . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-02 08:33 48,404 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-06-02 08:33 4,038,688 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-05-27 12:30 91,744 ----a-w C:\WINDOWS\BPMNT.dll 2008-05-27 12:30 71,749 ----a-w C:\WINDOWS\hcextoutput.dll 2008-05-27 12:30 69,689 ----a-w C:\WINDOWS\UNZIP.DLL 2008-05-27 12:30 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL 2008-05-27 12:30 333,576 ----a-w C:\WINDOWS\TSC.exe 2008-05-27 12:30 286,720 ----a-w C:\WINDOWS\PATCH.EXE 2008-05-27 12:30 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll 2008-04-28 09:55 --------- d-----w C:\Documents and Settings\Shall\Application Data eamspeak2 2008-04-23 08:49 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-04-10 15:02 2,829 ----a-w C:\WINDOWS\War3Unin.pif 2008-04-10 15:02 126,976 ----a-w C:\WINDOWS\War3Unin.exe 2008-04-08 13:40 --------- d-----w C:\Program Files\Fichiers communs\xing shared 2008-04-08 13:40 --------- d-----w C:\Program Files\Fichiers communs\Real 2008-04-08 13:39 --------- d-----w C:\Program Files\Real 2008-04-05 10:27 --------- d-----w C:\Program Files\Windows Live 2008-04-05 10:26 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-04-05 10:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-04-05 10:00 --------- d-----w C:\Program Files\QuickTime 2008-04-05 10:00 --------- d-----w C:\Program Files\iPod 2008-04-05 10:00 --------- d-----w C:\Program Files\Bonjour 2008-04-05 10:00 --------- d-----w C:\Documents and Settings\Shall\Application Data\Apple Computer 2008-04-05 10:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-04-05 09:59 --------- d-----w C:\Program Files\Fichiers communs\Apple 2008-04-05 09:59 --------- d-----w C:\Program Files\Apple Software Update 2008-04-05 09:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple 2008-04-04 11:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier 2008-03-31 22:47 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE . ------- Sigcheck ------- 2006-03-09 10:25 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\user32.dll 2006-04-12 20:13 667648 241dbc4c2714b2f39afded49459ed420 C:\WINDOWS\system32\wininet.dll 2005-06-28 18:56 359808 77c0c5e7d6cfe2052b8cf28b8722f528 C:\WINDOWS\system32\drivers cpip.sys 2006-05-09 10:11 2058880 73fa9c95d235844a36968c7852c7dbdd C:\WINDOWS\system32 tkrnlpa.exe 2005-06-16 00:00 2321152 bebb29fbd9c14448a7bc12204a362d9e C:\WINDOWS\system32 toskrnl.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184] "DAEMON Tools Lite"="J:\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856] "LClock"="lclock.exe" [2004-12-08 19:06 65536 C:\WINDOWS\LClock.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2004-11-15 12:20 77824 C:\WINDOWS\SOUNDMAN.EXE] "ZoneAlarm Client"="J:\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="I:\Itunes\iTunesHelper.exe" [2008-03-30 10:36 267048] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-04-08 15:39 151597] "Adobe Reader Speed Launcher"="J:\acrobatereader\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48 290816] "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632] "MSConfig"="C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe" [2006-04-12 20:04 172544] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Config"="C:\WINDOWS\system32 un.cmd" [2006-02-14 12:24 248] "nlsf"="cmd.exe" [2004-08-19 17:09 400896 C:\WINDOWS\system32\cmd.exe] "tscuninstall"="C:\WINDOWS\system32 scupgrd.exe" [2004-08-19 16:52 44544] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "ForceClassicControlPanel"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\byXPfcbx] byXPfcbx.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.dvsd"= pdvcodec.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\oub38.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal bg17.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vci40.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 "DisablePagingExecutive"=dword:00000001 "SecondLevelDataCache"=dword:00000200 [HKEY_LOCAL_MACHINE\software\microsoft\security center\monitoring\zonelabsfirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "I:\Itunes\iTunes.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= R0 oub38;oub38;C:\WINDOWS\system32\Drivers\Oub38.sys [2008-05-31 19:38] S0 tbg17;tbg17;C:\WINDOWS\system32\Drivers\Tbg17.sys [] S0 vci40;vci40;C:\WINDOWS\system32\Drivers\Vci40.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba0f64c2-fb87-11dc-b046-806d6172696f}] \Shell\AutoRun\command - D:\ASUSACPI.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-05-12 14:48:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-02 10:41:13 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... folder error: C:\DOCUME~1\Shall\LOCALS~1\Temp\ Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . Temps d'accomplissement: 2008-06-02 10:42:17 - machine was rebooted [Shall] ComboFix-quarantined-files.txt 2008-06-02 08:42:13 Pre-Run: 14,151,553,024 octets libres Post-Run: 14,187,397,120 octets libres 215 rapport hijack this Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:01:29, on 02/06/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe J:\acrobatereader\Reader\Reader_sl.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\Program Files\Softwin\BitDefender10\bdagent.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\lclock.exe C:\WINDOWS\system32 vsvc32.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Softwin\BitDefender10\vsserv.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://melanthios-ana.com/zcvisitor/1624d318-3614-11eb-87b9-12a1ab6c324d/72092e88-2c53-401c-b988-51ef43ce1034?campaignid=47f83760-f118-11ea-9bc8-0ac2bbf4ada7 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478d38-c3f9-4efb-9b51-7695eca05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "J:\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "I:\Itunes\iTunesHelper.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "J:\acrobatereader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [DAEMON Tools Lite] "J:\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [LClock] lclock.exe O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32 un.cmd (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32 scupgrd.exe (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32 un.cmd (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32 un.cmd (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32 un.cmd (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\SPYBOT~1\SDHelper.dll O16 - DPF: {0eb0e74a-2a76-4ab3-a7fb-9bd8c29f7f75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr O16 - DPF: {2d8ed06d-3c30-438b-96ae-4d110fdc1fb8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5d86ddb5-bdf9-441b-9e9e-d4730f4ee499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u5-windows-i586-jc.cab&AuthParam=1580944752_ad714b48b0d186f5adbe4ba05260ecbd&ext=.cab O20 - Winlogon Notify: byXPfcbx - byXPfcbx.dll (file missing) O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin SvcLog.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - I:\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - I:\Spyware Doctor\swdsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Utilisateur anonyme · Answer

#Crée un nouveau document texte : clique droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\drivers\iksyssec.sys
C:\WINDOWS\system32\drivers\iksysflt.sys
C:\WINDOWS\system32\drivers\ikfilesec.sys
C:\WINDOWS\system32\drivers\kcom.sys

Folder::
C:\1276077882
C:\SDFix
C:\VundoFix Backups
C:\Program Files\Navilog1 


Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\byXPfcbx]

#Enregistre ce fichier sous le nom CFScript.txt


#Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe 


#Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
#Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
#Ne touche à rien tant que le scan n'est pas terminé.
#Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis.

#Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt




#Télécharge et installe MalwareByte's> :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
#Lance une analyse complète.
#A la fin du scan, clique sur "Supprimer la sélection" ou "Remove Selected"
#Copie/colle le rapport final.

shalgram · Answer

merci encore 12.eleven 

j'ai donc suivit la procédure a la lettre ( je commence a prendre le pli :p )

a priori le dernier trojan qui restait dan sle dossier system32 a été erradiquer avec succés :)

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 816

11:35:54 03/06/2008
mbam-log-6-3-2008 (11-35-54).txt

Type de recherche: Examen complet (C:\|I:\|J:\|K:\|)
Eléments examinés: 105566
Temps écoulé: 20 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\WinCtrl32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinNt32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\WLCtrl32.dll (Trojan.Agent) -> Quarantined and deleted successfully.

je lance un scan avec bit defender pour m'en assurer mais je pense que la cette fois le souci est résolu 

merci encore pour le coup de main je pensais pas m'en sortir 

je tiens a remercier l'ensemble des personnes qui comme toi prennent le temps d'aider les néophite que nous sommes

Utilisateur anonyme · Answer

Copie/colle moi le scan BitDefender ;)

shalgram · Answer

j'ai réussi a m'en débarrasser grace a malwarebytes 

un deuxième scan de bit defender m'a permis de de supprimer le dernier trojan détecté 

merci du coup de main ;)

Utilisateur anonyme · Answer

# Je t'invite à lire ceci :
*https://www.malekal.com/proteger-pc-virus-pirates/
*http://forum.telecharger.01net.com/microhebdo/6/tuto-securite/mesures_preventives_avant_navigation_sinternet_et_entretien-346836/messages-1.html
*Utilise Windows Update
*Télécharge https://filehippo.com/windows/tuning-utilities/ tu l'installes et il te liste ce qu'il faut mettre à jour avec les liens correspondants.


#Télécharge ToolsCleaner (A.Rothstein) sur ton Bureau:
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
#Clique sur Recherche et laisse le scan se terminer.
#Clique sur Suppression pour finaliser.
#Tu peux, si tu le souhaites, te servir des Options facultatives.
#Clique sur Quitter, pour que le rapport puisse se créer.
#Poste le rapport C:\TCleaner.txt

------------------------------------------------------------------------------------------­­-------------------------

1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche Désactiver la restauration système
6.Valide par Ok
7.Redémarre
8.Reproduis les manipulations 1 à 3
9.Décoche Désactiver la restauration système
10.Valide par Ok

------------------------------------------------------------------------------------------­­-------------------------

#Télécharge Ccleaner :
https://www.ccleaner.com/ccleaner/download
Clique sur le premier Download now > Choisis la version Slim
Installe Ccleaner.
Nettoie Windows et la base de registre en suivant ce tuto :
https://www.malekal.com/tutoriel-ccleaner/#mozTocId223895

------------------------------------------------------------------------------------------­­-------------------------

Infection par EM--PC et FM-PC

12 réponses

Newsletters