Sujet Précédent Sujet Suivant

Help : Infection Virtumonde et autres

Fermé
Sire deck - 15 juin 2008 à 21:33
 Sire deck - 5 juil. 2008 à 23:08
Bonjour,

Je suis infecté par toute sortes de virus dont Virtumonde et je ne m'en sors pas du tout. J'ai fait un scan Hijackthis, si quelqu'un peut m'aider à démêler tout ça :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:29:58, on 15/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbtserv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Free Easy Burner\FreeEasyBurner.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {34DF45D1-6319-4A7F-84CA-7498BD0DAEFC} - C:\WINDOWS\System32\ssqNgfeD.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {70CC1FD4-D5C8-4432-9D8D-CA90823D7BA3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CC5EA9C0-565E-4965-9A2D-C68EAA5F8470} - C:\WINDOWS\System32\ljJBtqOg.dll (file missing)
O2 - BHO: (no name) - {FBD7BC9C-499F-47E0-855A-260D1BEFC847} - C:\WINDOWS\System32\geBsspMG.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [BM1f8455ed] Rundll32.exe "C:\WINDOWS\System32\jyvtcthf.dll",s
O4 - HKLM\..\RunServices: [] fada.exe
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA4901] command /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1081] cmd /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [SpybotDeletingB507] command /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4703] cmd /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Mr] C:\WINDOWS\rundll32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [] fada.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agent] xefmzu.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C319AB5-59EA-4E6F-8E84-FAF1B98DA33B}: NameServer = 84.103.237.146 86.64.145.146
O20 - Winlogon Notify: ssqNgfeD - C:\WINDOWS\SYSTEM32\ssqNgfeD.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbucoms.exe

9 réponses

Réponse 1 / 9
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
15 juin 2008 à 21:34
Salut,

Platform: Windows XP SP1 (WinNT 5.01.2600) ---> Mets à jour Windows

- Télécharge combofix.exe (de sUBs)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Enregistre ce fichier sur le bureau

- Redémarre en mode sans échec :
http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm

- Double-clique sur combofix.exe, tape 1, valide par Entrée pour lancer le scan

- Lorsque le scan sera complété, un rapport apparaîtra. Copie/Colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

* Combofix est détecté par certains antivirus comme une infection, il s'agit d'un "faux positif"

** N'en tiens pas compte, continue la procédure.
0
Réponse 2 / 9
Sire deck
15 juin 2008 à 22:55
Voilà le rapport combofix :
ComboFix 08-06-15.1 - Administrateur 2008-06-15 22:49:00.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.406 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM1f8455ed.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\abhkwayn.ini
C:\WINDOWS\system32\aqlqmpyv.ini
C:\WINDOWS\system32\bctswsyj.dll
C:\WINDOWS\system32\bygfmljq.dll
C:\WINDOWS\system32\byXRHwts.dll
C:\WINDOWS\system32\fada.exe
C:\WINDOWS\system32\fkdddbca.dll
C:\WINDOWS\system32\GMpssBeg.ini
C:\WINDOWS\system32\GMpssBeg.ini2
C:\WINDOWS\system32\gOqtBJjl.ini
C:\WINDOWS\system32\gOqtBJjl.ini2
C:\WINDOWS\system32\jyswstcb.ini
C:\WINDOWS\system32\jyvtcthf.dll
C:\WINDOWS\system32\khfFUMEV.dll
C:\WINDOWS\system32\lrymmkrl.dll
C:\WINDOWS\system32\ltruosyi.dll
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\nnnlmMff.dll
C:\WINDOWS\system32\nyawkhba.dll
C:\WINDOWS\system32\qjlmfgyb.ini
C:\WINDOWS\system32\qrcaloii.dll
C:\WINDOWS\system32\ssqNgfeD.dll
C:\WINDOWS\system32\stwHRXyb.ini
C:\WINDOWS\system32\stwHRXyb.ini2
C:\WINDOWS\system32\ugpgprgl.dll
C:\WINDOWS\system32\vypmqlqa.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-15 to 2008-06-15 ))))))))))))))))))))))))))))))))))))
.

2008-06-15 21:16 . 2006-11-18 10:38 200,704 --a------ C:\WINDOWS\system32\vbalExpBar6.ocx
2008-06-15 21:15 . 2008-06-15 21:18 <REP> d-------- C:\Program Files\Free Easy Burner
2008-06-15 18:37 . 2008-06-15 18:37 331,776 --a------ C:\WINDOWS\system32\YaRaby.exe
2008-06-15 18:01 . 2008-06-15 18:01 322,560 --------- C:\WINDOWS\system32\ljJBtqOg.dll_old
2008-06-15 18:01 . 2008-06-15 18:01 0 --a------ C:\WINDOWS\system32\ftpupd.exe
2008-06-13 23:37 . 2008-06-14 00:53 152 --a------ C:\WINDOWS\wininit.ini
2008-06-13 22:40 . 2001-08-17 21:57 16,128 --a------ C:\WINDOWS\system32\drivers\MODEMCSA.sys
2008-06-13 22:40 . 2001-08-17 21:57 16,128 --a--c--- C:\WINDOWS\system32\dllcache\modemcsa.sys
2008-06-13 22:38 . 2008-06-13 22:38 <REP> d-------- C:\Program Files\CONEXANT
2008-06-13 19:17 . 2008-06-13 19:17 46,080 --a------ C:\WINDOWS\system32\zgvxih.exe
2008-06-13 19:17 . 2008-06-13 19:17 27,648 --a------ C:\WINDOWS\system32\xpiooc.exe
2008-06-13 19:17 . 2008-06-13 19:17 1,635 --a------ C:\WINDOWS\system32\oovfiwyi.exe
2008-06-13 19:17 . 2008-06-13 19:17 1,635 --a------ C:\WINDOWS\system32\axuonuc.exe
2008-06-12 20:04 . 2008-06-12 20:04 45,568 --a------ C:\WINDOWS\system32\reunob.exe
2008-06-12 20:04 . 2008-06-12 20:04 27,648 --a------ C:\WINDOWS\system32\rpczp.exe
2008-06-12 20:04 . 2008-06-12 20:04 1,635 --a------ C:\WINDOWS\system32\nrlkpn.exe
2008-06-12 20:04 . 2008-06-12 20:04 1,635 --a------ C:\WINDOWS\system32\eqlsro.exe
2008-06-12 17:51 . 2008-06-12 17:51 45,568 --a------ C:\WINDOWS\system32\uqrzo.exe
2008-06-12 17:51 . 2008-06-12 17:51 27,648 --a------ C:\WINDOWS\system32\sxcgdmo.exe
2008-06-12 17:51 . 2008-06-12 17:51 1,635 --a------ C:\WINDOWS\system32\mrrmg.exe
2008-06-12 17:51 . 2008-06-12 17:51 1,635 --a------ C:\WINDOWS\system32\eqkoszp.exe
2008-06-11 23:11 . 2001-08-23 17:47 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll
2008-06-11 23:11 . 2001-08-23 17:47 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll
2008-06-11 23:11 . 2002-08-29 01:48 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-06-11 23:11 . 2002-08-29 01:48 14,208 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-06-11 23:09 . 2004-09-23 20:17 622,592 --a------ C:\WINDOWS\system32\lxbupmui.dll
2008-06-11 23:09 . 2004-09-28 05:23 98,304 --a------ C:\WINDOWS\system32\lxbuinsr.dll
2008-06-11 23:09 . 2004-09-22 15:52 65,536 -ra------ C:\WINDOWS\system32\lxbucfg.dll
2008-06-11 23:09 . 2004-10-01 19:30 1,519 -ra------ C:\WINDOWS\system32\lxbu.loc
2008-06-11 23:08 . 2008-06-12 17:49 <REP> d-------- C:\Temp\{9F5FBC24-EFE2-4f90-B498-EC0FB7D47D15}
2008-06-11 23:08 . 2008-06-11 23:11 <REP> d-------- C:\Program Files\Lexmark 6200 Series
2008-06-11 23:02 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-06-11 22:59 . 2003-05-30 09:00 1,962,496 --a------ C:\WINDOWS\system32\quartz.dll
2008-06-11 22:58 . 2008-06-11 22:58 <REP> d-------- C:\Program Files\DirectX9
2008-06-11 22:47 . 2008-06-11 22:47 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Samsung
2008-06-11 22:47 . 2008-06-11 22:48 33 --a------ C:\WINDOWS\Multimedia manager.INI
2008-06-11 22:45 . 2006-05-03 22:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll
2008-06-11 22:45 . 2005-08-30 01:49 94,000 --a------ C:\WINDOWS\system32\drivers\ssm_mdm.sys
2008-06-11 22:45 . 2005-08-30 01:47 58,320 --a------ C:\WINDOWS\system32\drivers\ssm_bus.sys
2008-06-11 22:45 . 2005-08-30 01:49 8,336 --a------ C:\WINDOWS\system32\drivers\ssm_mdfl.sys
2008-06-11 22:45 . 2005-08-30 01:49 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cmnt.sys
2008-06-11 22:45 . 2005-08-30 01:49 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cm.sys
2008-06-11 22:45 . 2005-08-30 01:47 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_whnt.sys
2008-06-11 22:45 . 2005-08-30 01:47 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_wh.sys
2008-06-11 22:44 . 2008-06-11 22:45 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-06-11 22:44 . 2008-06-11 22:44 <REP> d-------- C:\Program Files\Samsung
2008-06-11 22:44 . 2006-07-24 16:05 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-06-11 22:44 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-06-11 22:42 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2008-06-11 22:42 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
2008-06-11 22:04 . 2008-06-11 22:04 45,568 --a------ C:\WINDOWS\system32\qgou.exe
2008-06-11 22:04 . 2008-06-11 22:04 27,648 --a------ C:\WINDOWS\system32\qboahc.exe
2008-06-11 22:04 . 2008-06-11 22:04 1,635 --a------ C:\WINDOWS\system32\ilendxim.exe
2008-06-11 22:04 . 2008-06-11 22:04 1,635 --a------ C:\WINDOWS\system32\cfuheey.exe
2008-06-11 21:53 . 2008-06-11 21:53 73,216 --a------ C:\WINDOWS\system32\zkbt.exe
2008-06-11 21:53 . 2008-06-11 21:53 45,568 --a------ C:\WINDOWS\system32\jjvjnd.exe
2008-06-11 21:53 . 2008-06-11 21:53 45,568 --a------ C:\WINDOWS\system32\ahvxge.exe
2008-06-11 21:53 . 2008-06-11 21:53 27,648 --a------ C:\WINDOWS\system32\uuyotek.exe
2008-06-11 21:53 . 2008-06-11 21:53 27,648 --a------ C:\WINDOWS\system32\aybwk.exe
2008-06-11 21:53 . 2008-06-11 21:53 1,635 --a------ C:\WINDOWS\system32\wbsww.exe
2008-06-11 21:53 . 2008-06-11 21:53 1,635 --a------ C:\WINDOWS\system32\hhhc.exe
2008-06-11 21:03 . 2008-06-11 21:03 45,568 --a------ C:\WINDOWS\system32\pjcjciyu.exe
2008-06-11 21:03 . 2008-06-11 21:03 45,568 --a------ C:\WINDOWS\system32\epftma.exe
2008-06-11 21:03 . 2008-06-11 21:03 27,648 --a------ C:\WINDOWS\system32\ekxbseug.exe
2008-06-11 21:03 . 2008-06-11 21:03 27,648 --a------ C:\WINDOWS\system32\bdpfpo.exe
2008-06-11 20:16 . 2008-06-11 20:16 45,568 --a------ C:\WINDOWS\system32\wcqfwgi.exe
2008-06-11 20:16 . 2008-06-11 20:16 45,568 --a------ C:\WINDOWS\system32\cduzqe.exe
2008-06-11 20:16 . 2008-06-11 20:16 27,648 --a------ C:\WINDOWS\system32\zkzmze.exe
2008-06-11 20:16 . 2008-06-11 20:16 27,648 --a------ C:\WINDOWS\system32\axpi.exe
2008-06-11 20:16 . 2008-06-11 20:16 1,635 --a------ C:\WINDOWS\system32\ljkuk.exe
2008-06-11 20:16 . 2008-06-11 20:16 1,635 --a------ C:\WINDOWS\system32\aqnwosiv.exe
2008-06-10 22:34 . 2008-06-10 22:34 23,056 --a------ C:\gggj.exe
2008-06-10 20:55 . 2008-06-10 20:56 45,568 --a------ C:\WINDOWS\system32\gkccn.exe
2008-06-10 20:55 . 2008-06-10 20:56 45,568 --a------ C:\WINDOWS\system32\byzc.exe
2008-06-10 20:55 . 2008-06-10 20:55 27,648 --a------ C:\WINDOWS\system32\zsaf.exe
2008-06-10 20:55 . 2008-06-10 20:56 27,648 --a------ C:\WINDOWS\system32\kyysuwls.exe
2008-06-10 20:55 . 2008-06-10 20:55 1,635 --a------ C:\WINDOWS\system32\vumhtwro.exe
2008-06-10 20:55 . 2008-06-10 20:55 1,635 --a------ C:\WINDOWS\system32\uzna.exe
2008-06-10 19:59 . 2008-06-10 20:48 20,686 --a------ C:\lox.exe
2008-06-10 19:54 . 2008-06-10 19:54 45,568 --a------ C:\WINDOWS\system32\ovwumwj.exe
2008-06-10 19:54 . 2008-06-10 19:54 45,568 --a------ C:\WINDOWS\system32\cjkma.exe
2008-06-10 19:54 . 2008-06-10 19:54 27,648 --a------ C:\WINDOWS\system32\baumj.exe
2008-06-10 19:54 . 2008-06-10 19:54 27,648 --a------ C:\WINDOWS\system32\azatbm.exe
2008-06-10 19:54 . 2008-06-10 19:54 1,635 --a------ C:\WINDOWS\system32\tphgn.exe
2008-06-10 19:54 . 2008-06-10 19:54 1,635 --a------ C:\WINDOWS\system32\itzwaj.exe
2008-06-09 19:51 . 2008-06-10 21:01 16,384 --a------ C:\WINDOWS\system32\WinTrack.exe
2008-06-09 19:51 . 2008-06-15 18:37 66 --a------ C:\WINDOWS\system32\o
2008-06-09 19:47 . 2008-06-09 19:47 27,648 --a------ C:\WINDOWS\system32\dmdkoe.exe
2008-06-09 19:47 . 2008-06-09 19:47 27,648 --a------ C:\WINDOWS\system32\bdngqnj.exe
2008-06-09 19:47 . 2008-06-09 19:47 1,635 --a------ C:\WINDOWS\system32\lonybnsf.exe
2008-06-09 19:47 . 2008-06-09 19:47 1,635 --a------ C:\WINDOWS\system32\djdhng.exe
2008-06-08 22:43 . 2008-06-15 22:51 <REP> d-------- C:\Program Files\eMule
2008-06-08 22:05 . 2008-06-08 22:05 27,648 --a------ C:\WINDOWS\system32\iexkz.exe
2008-06-08 22:03 . 2008-06-08 22:03 27,648 --a------ C:\WINDOWS\system32\rusqznql.exe
2008-06-08 22:03 . 2008-06-08 22:03 1,635 --a------ C:\WINDOWS\system32\vxfrjoff.exe
2008-06-08 22:03 . 2008-06-08 22:03 1,635 --a------ C:\WINDOWS\system32\fnicug.exe
2008-06-08 22:01 . 2008-06-08 22:01 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-06-08 21:54 . 2008-06-08 21:54 114 --a------ C:\WINDOWS\system32\mdmy.bat
2008-06-08 21:46 . 2008-06-08 21:46 124 --a------ C:\WINDOWS\system32\rjfpq.bat
2008-06-08 21:43 . 2008-06-08 21:43 123 --a------ C:\WINDOWS\system32\dhwm.bat
2008-06-08 21:35 . 2008-06-08 21:35 121 --a------ C:\WINDOWS\system32\xxgig.bat
2008-06-08 21:31 . 2008-06-08 21:31 120 --a------ C:\WINDOWS\system32\spobwea.bat
2008-06-08 21:28 . 2008-06-08 21:28 128 --a------ C:\WINDOWS\system32\saimdh.bat
2008-06-08 21:25 . 2008-06-08 21:25 124 --a------ C:\WINDOWS\system32\xfxvj.bat
2008-06-08 21:15 . 2008-06-08 21:15 405,504 -r--s---- C:\WINDOWS\system32\wbtserv.exe
2008-06-08 21:15 . 2008-06-08 21:15 128 --a------ C:\WINDOWS\system32\zytkcd.bat
2008-06-08 21:03 . 2008-06-08 21:03 27,648 --a------ C:\WINDOWS\system32\vnmgqi.exe
2008-06-08 21:03 . 2008-06-08 21:03 27,648 --a------ C:\WINDOWS\system32\ocykp.exe
2008-06-08 21:03 . 2008-06-08 21:03 1,635 --a------ C:\WINDOWS\system32\eynrm.exe
2008-06-08 21:03 . 2008-06-08 21:03 1,635 --a------ C:\WINDOWS\system32\czvllohp.exe
2008-06-08 19:55 . 2008-06-08 19:55 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-06-08 19:55 . 2008-06-08 21:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-08 19:21 . 2008-06-08 19:21 27,648 --a------ C:\WINDOWS\system32\kjlon.exe
2008-06-08 19:21 . 2008-06-08 19:21 27,648 --a------ C:\WINDOWS\system32\hwhios.exe
2008-06-08 19:21 . 2008-06-08 19:21 1,635 --a------ C:\WINDOWS\system32\fjyzrmo.exe
2008-06-08 19:21 . 2008-06-08 19:21 1,635 --a------ C:\WINDOWS\system32\baezew.exe
2008-06-08 18:56 . 2008-06-08 18:56 <REP> d-------- C:\WINDOWS\Sun
2008-06-08 18:55 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-06-08 18:55 . 2008-06-08 18:55 1,160 --a------ C:\WINDOWS\mozver.dat
2008-06-08 18:54 . 2008-06-08 18:55 <REP> d-------- C:\Program Files\Java
2008-06-08 18:54 . 2008-06-08 18:54 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-06-08 18:43 . 2008-06-08 18:43 27,648 --a------ C:\WINDOWS\system32\rfvjjg.exe
2008-06-08 18:43 . 2008-06-08 18:43 27,648 --a------ C:\WINDOWS\system32\pnvnv.exe
2008-06-08 17:37 . 2008-06-08 17:37 <REP> d-------- C:\Program Files\Winamp
2008-06-08 17:37 . 2008-06-08 17:37 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Winamp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-11 20:44 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-11 20:43 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-06-06 20:40 --------- d-----w C:\Program Files\BeWAN ADSL V1.9.0.3
2008-06-06 20:39 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-06-06 20:39 --------- d-----w C:\Program Files\AvRack
2008-06-06 20:31 --------- d-----w C:\Program Files\Alwil Software
2008-06-06 20:14 --------- d-----w C:\Program Files\ATI Technologies
2008-06-06 20:14 --------- d-----w C:\Program Files\ATI
2008-06-06 20:07 --------- d-----w C:\Program Files\microsoft frontpage
2008-06-06 20:05 --------- d-----w C:\Program Files\Services en ligne
2002-08-29 09:45 331,776 --sh--r C:\WINDOWS\system32\xefmzu.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34DF45D1-6319-4A7F-84CA-7498BD0DAEFC}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{70CC1FD4-D5C8-4432-9D8D-CA90823D7BA3}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC5EA9C0-565E-4965-9A2D-C68EAA5F8470}]
C:\WINDOWS\System32\ljJBtqOg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FBD7BC9C-499F-47E0-855A-260D1BEFC847}]
C:\WINDOWS\System32\geBsspMG.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45 13312]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 16:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"@"="fada.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 11:45 13312]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [ ]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
"Mr"="C:\WINDOWS\rundll32.exe" [ ]
"Windows Service Agent"="xefmzu.exe" [2002-08-29 11:45 331776 C:\WINDOWS\system32\xefmzu.exe]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\wbtserv.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
R2 wbtserv;Windows Bluetooth Server;"C:\WINDOWS\system32\wbtserv.exe" [2008-06-08 21:15]
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2004-11-16 15:48]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2005-04-19 14:54]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-15 22:51:51
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-15 22:53:20 - machine was rebooted [Administrateur]
ComboFix-quarantined-files.txt 2008-06-15 20:53:13

Pre-Run: 13,561,401,344 octets libres
Post-Run: 14,276,345,856 octets libres

236
0
Réponse 3 / 9
sire deck
16 juin 2008 à 21:10
Up
0
Réponse 4 / 9
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
16 juin 2008 à 21:47
slt
il en reste beaucoup!!!

si tu n'as pas de parefeu mets en un de suite car ton windows n'est pas a jour


________________

Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

________________

vire ce qui est en quarantaine dans spybto (sauvegrade)
__________________

scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.

__________________

virtumondebegone (colle le rapport)

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

____________________

scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

__________________
recolle un rapport hijakchits et un nouveau combofix

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

____________________


Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Sire deck
18 juin 2008 à 20:49
Bon, voici les différents rapports :

VundoFix V7.0.5

Scan started at 22:27:55 16/06/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...


Virtumondebegone :

[06/17/2008, 20:10:24] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )
[06/17/2008, 20:10:27] - Detected System Information:
[06/17/2008, 20:10:27] - Windows Version: 5.1.2600, Service Pack 1
[06/17/2008, 20:10:27] - Current Username: Administrateur (Admin)
[06/17/2008, 20:10:27] - Windows is in NORMAL mode.
[06/17/2008, 20:10:27] - Searching for Browser Helper Objects:
[06/17/2008, 20:10:27] - BHO 1: {34DF45D1-6319-4A7F-84CA-7498BD0DAEFC} ()
[06/17/2008, 20:10:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/17/2008, 20:10:27] - No filename found. Continuing.
[06/17/2008, 20:10:27] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[06/17/2008, 20:10:27] - BHO 3: {70CC1FD4-D5C8-4432-9D8D-CA90823D7BA3} ()
[06/17/2008, 20:10:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/17/2008, 20:10:27] - No filename found. Continuing.
[06/17/2008, 20:10:27] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/17/2008, 20:10:27] - BHO 5: {CC5EA9C0-565E-4965-9A2D-C68EAA5F8470} ()
[06/17/2008, 20:10:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/17/2008, 20:10:27] - Checking for HKLM\...\Winlogon\Notify\ljJBtqOg
[06/17/2008, 20:10:27] - Key not found: HKLM\...\Winlogon\Notify\ljJBtqOg, continuing.
[06/17/2008, 20:10:28] - BHO 6: {FBD7BC9C-499F-47E0-855A-260D1BEFC847} ()
[06/17/2008, 20:10:28] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/17/2008, 20:10:28] - Checking for HKLM\...\Winlogon\Notify\geBsspMG
[06/17/2008, 20:10:28] - Key not found: HKLM\...\Winlogon\Notify\geBsspMG, continuing.
[06/17/2008, 20:10:28] - Finished Searching Browser Helper Objects
[06/17/2008, 20:10:28] - Finishing up...
[06/17/2008, 20:10:28] - Nothing found! Exiting...

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 864

22:59:36 17/06/2008
mbam-log-6-17-2008 (22-59-27).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 111714
Temps écoulé: 1 hour(s), 37 minute(s), 51 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
C:\winhet.exe (Trojan.Agent) -> No action taken.
C:\winhet.exe (Trojan.Agent) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{34df45d1-6319-4a7f-84ca-7498bd0daefc} (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\QooBox\Quarantine\C\WINDOWS\system32\bctswsyj.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\bygfmljq.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\byXRHwts.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\khfFUMEV.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\nnnlmMff.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\nyawkhba.dll.vir (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\vypmqlqa.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0017661.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018720.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021764.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021765.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021766.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021769.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021772.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021773.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021776.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJBtqOg.dll_old (Trojan.Vundo) -> No action taken.
C:\winhet.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.

Hijackthis : Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:06:12, on 17/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbtserv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/startpage/adsl/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {70CC1FD4-D5C8-4432-9D8D-CA90823D7BA3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {CC5EA9C0-565E-4965-9A2D-C68EAA5F8470} - C:\WINDOWS\System32\ljJBtqOg.dll (file missing)
O2 - BHO: (no name) - {FBD7BC9C-499F-47E0-855A-260D1BEFC847} - C:\WINDOWS\System32\geBsspMG.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [] fada.exe
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA4901] command /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1081] cmd /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [SpybotDeletingB507] command /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4703] cmd /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Mr] C:\WINDOWS\rundll32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agent] sxhnbz.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C319AB5-59EA-4E6F-8E84-FAF1B98DA33B}: NameServer = 86.64.145.144 84.103.237.144
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbucoms.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
0
Réponse 6 / 9
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
18 juin 2008 à 20:55
relance hijcakthis , fais do a system scan only et fix ces lignes (fix cheked)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: (no name) - {70CC1FD4-D5C8-4432-9D8D-CA90823D7BA3} - (no file)

O2 - BHO: (no name) - {CC5EA9C0-565E-4965-9A2D-C68EAA5F8470} - C:\WINDOWS\System32\ljJBtqOg.dll (file missing)
O2 - BHO: (no name) - {FBD7BC9C-499F-47E0-855A-260D1BEFC847} - C:\WINDOWS\System32\geBsspMG.dll (file missing)

O4 - HKLM\..\RunServices: [] fada.exe
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA4901] command /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1081] cmd /c del "C:\WINDOWS\system32\geBsspMG.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingB507] command /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4703] cmd /c del "C:\WINDOWS\system32\geBsspMG.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Mr] C:\WINDOWS\rundll32.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Service Agent] sxhnbz.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

___________________

vire spybot de ton ordinateur car des infections sont dedans et le bloque : on le remettra plus tard


______________________


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
______________________


colle le rapport d'un scan en ligne
avec un des suivants:
(désactiver avast le temps du scan)

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

__________________


a plus
0
Réponse 7 / 9
Sire deck
5 juil. 2008 à 12:25
Désolé pour le délai de ma réponse, voici le report de SDFIX :


[b]SDFix: Version 1.199 [/b]
Run by Administrateur on 01/07/2008 at 22:47

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\awtqnkhe.dll - Deleted
C:\WINDOWS\Temp\removalfile.bat - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-01 23:02:27
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\wbtserv.exe"="%windir%\\system32\\wbtserv.exe:*:Enabled:Windows Bluetooth Server"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 29 Aug 2002 331,776 ..SHR --- "C:\WINDOWS\system32\sxhnbz.exe"
Thu 29 Aug 2002 331,776 ..SHR --- "C:\WINDOWS\system32\xefmzu.exe"

[b]Finished![/b]

Pour le scan de Panda, j'ai pas trouvé où il était mais apparemment il y avait quelques infections.
0
Réponse 8 / 9
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 juil. 2008 à 13:48
vire ce qui est dans le dossier quarantine en allant dans psote de travail puis C puis qoobox


_____________



colle le rapport d'un scan en ligne
avec un des suivants:
(désactiver avast le temps du scan)

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

__________________


a plus
0
Réponse 9 / 9
Sire deck
5 juil. 2008 à 23:08
Rapport de Panda :

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-07-05 23:04:23
PROTECTIONS: 0
MALWARE: 53
SUSPECTS: 4
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00035872 adware/popuper Adware No 0 Yes No c:\windows\system32\msmsgs.exe
00048612 W32/Sdbot.ftp.worm Virus/Worm No 0 Yes No C:\WINDOWS\system32\o
00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.trafficmp.com/]
00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.trafficmp.com/]
00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.trafficmp.com/]
00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.trafficmp.com/]
00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.trafficmp.com/]
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.doubleclick.net/]
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.atdmt.com/]
00139535 Application/Processor HackTools No 0 Yes No C:\SDFix\apps\Process.exe
00139535 Application/Processor HackTools No 0 Yes No C:\Program Files\Navilog1\Process.exe
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe[²ƒÇ]
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\Administrateur\Bureau\SDFix.exe[SDFix\apps\Process.exe]
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.247realmedia.com/]
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.tribalfusion.com/]
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.mediaplex.com/]
00160284 Cookie/Findwhat TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@findwhat[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.xiti.com/]
00167709 Cookie/fe.lea.lycos TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[fe.lea.lycos.fr/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[ad.yieldmanager.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.apmebf.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.serving-sys.com/]
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.bs.serving-sys.com/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.weborama.fr/]
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.adtech.de/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.advertising.com/]
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.advertising.com/]
00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.zedo.com/]
00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.zedo.com/]
00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@zedo[2].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.bluestreak.com/]
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.adultfriendfinder.com/]
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.adultfriendfinder.com/]
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.atwola.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2dcpagli.default\cookies.txt[.smartadserver.com/]
00379439 W32/Gaobot.PCK.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP17\A0029444.exe
00519333 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe
01176994 Bck/VB.XB Virus/Trojan No 0 No No D:\Sauvegarde\Réinstall\ComboFix.exe[327882R2FWJFW\NirCmdC.cfexe]
01176994 Bck/VB.XB Virus/Trojan No 0 No No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021805.exe[327882R2FWJFW\NirCmdC.cfexe]
01176994 Bck/VB.XB Virus/Trojan No 0 No No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP17\A0030552.exe[327882R2FWJFW\NirCmdC.cfexe]
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021815.EXE
02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes No C:\Program Files\Navilog1\reboot.exe
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021789.sys
02959672 Trj/Downloader.TQS Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013639.exe
02959672 Trj/Downloader.TQS Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP7\A0007042.exe
03054488 W32/Kolabc.A.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP7\A0008053.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP7\A0007043.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP7\A0007057.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP5\A0006920.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP5\A0005899.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013640.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP9\A0009127.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013629.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013638.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013635.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013632.exe
03064187 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013634.exe
03065820 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\WINDOWS\system32\zkbt.exe
03073161 Generic Backdoor Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP15\A0025296.exe
03073161 Generic Backdoor Virus/Trojan No 0 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\rundll32.exe.vir
03073161 Generic Backdoor Virus/Trojan No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\9FO5U5H2\logo[1].gif
03073161 Generic Backdoor Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021760.exe
03073162 Generic Backdoor Virus/Trojan No 0 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\system32\mdm.exe.vir
03073162 Generic Backdoor Virus/Trojan No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\859IQ9QU\mumie[1].exe
03073162 Generic Backdoor Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP7\A0008044.exe
03073162 Generic Backdoor Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021762.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\axpi.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\xpiooc.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\baumj.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\bdngqnj.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\aybwk.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\zkzmze.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\bdpfpo.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\zsaf.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\dmdkoe.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\ekxbseug.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\hwhios.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\vnmgqi.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\pnvnv.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\uuyotek.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\iexkz.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\kjlon.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\sxcgdmo.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\rusqznql.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\rpczp.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\rfvjjg.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\qboahc.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\azatbm.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\kyysuwls.exe
03073906 Trj/QHost.II Virus/Trojan No 0 Yes No C:\WINDOWS\system32\ocykp.exe
03074022 Generic Trojan Virus/Trojan No 0 Yes No C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\859IQ9QU\gh[1].gif
03074022 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP15\A0025377.exe
03074022 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013646.exe
03075004 W32/Kolabc.B.worm Virus/Worm No 0 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\system32\logon.exe.vir
03075004 W32/Kolabc.B.worm Virus/Worm No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP13\A0021966.exe
03084365 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018706.exe
03084365 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018708.exe
03084365 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018719.exe
03084365 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018712.exe
03084365 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018711.exe
03084365 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018707.exe
03084365 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018710.exe
03084365 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0018709.exe
03084466 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP14\A0024253.exe
03084466 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP16\A0028442.exe
03084466 W32/Gaobot.OXI.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP5\A0005911.exe
03084767 Spyware/Virtumonde Spyware No 1 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc8.zip[ssqNgfeD.dll]
03104775 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\WINDOWS\system32\zgvxih.exe
03104775 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021817.exe
03104811 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021770.dll
03104811 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021768.dll
03104811 Spyware/Virtumonde Spyware No 1 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\system32\lrymmkrl.dll.vir
03104811 Spyware/Virtumonde Spyware No 1 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\system32\jyvtcthf.dll.vir
03104946 Spyware/Virtumonde Spyware No 1 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\system32\qrcaloii.dll.vir
03104946 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021774.dll
03105575 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021767.dll
03105575 Spyware/Virtumonde Spyware No 1 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\system32\fkdddbca.dll.vir
03105575 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021771.dll
03105575 Spyware/Virtumonde Spyware No 1 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\system32\ltruosyi.dll.vir
03105631 Generic Trojan Virus/Trojan No 0 Yes No C:\RECYCLER\S-1-5-21-1659004503-1035525444-725345543-500\Dc5\WINDOWS\system32\ugpgprgl.dll.vir
03105631 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0021775.dll
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013645.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013633.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP11\A0012605.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013641.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013636.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013628.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013643.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013642.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013637.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013631.exe
03139109 W32/Ircbot.CBR.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP12\A0013630.exe
03194718 Spyware/Virtumonde Spyware No 1 Yes No C:\SDFix\backups\backups.zip[backups/awtqnkhe.dll]
03194718 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP17\A0030583.dll
03194718 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP15\A0026383.dll
03194718 Spyware/Virtumonde Spyware No 1 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP15\A0027390.dll
03204986 Spyware/Virtumonde Spyware No 1 Yes No C:\WINDOWS\system32\yisydtjn.dll
03204986 Spyware/Virtumonde Spyware No 1 Yes No C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\W1U30LQ3\kb767887[1]
03204986 Spyware/Virtumonde Spyware No 1 Yes No C:\WINDOWS\system32\aqowlk.dll
03205027 Adware/AccesMembre Adware No 0 Yes No C:\WINDOWS\system32\rxxy.exe
03205027 Adware/AccesMembre Adware No 0 Yes No C:\WINDOWS\system32\ppbah.exe
03205027 Adware/AccesMembre Adware No 0 Yes No C:\System Volume Information\_restore{54085F8C-CE4B-44BD-BAD5-E5D01CC6EF6E}\RP13\A0021978.exe
03205027 Adware/AccesMembre Adware No 0 Yes No C:\WINDOWS\system32\uznbfcem.exe
03205136 Spyware/Virtumonde Spyware No 1 Yes No C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\45AFKLUJ\kb456456[1]
03205213 Spyware/Virtumonde Spyware No 1 Yes No C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\49MNG9YJ\CAW5CT8N
;===================================================================================================================================================================================
SUSPECTS
Sent Location \*s5B
;===================================================================================================================================================================================
No C:\Program Files\Navilog1\gnc.exe \*s5B
No C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\L9WV9Y2O\banner[1].jpg
No C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\L9WV9Y2O\banner[2].jpg
No C:\WINDOWS\system32\WinTrack.exe \*s5B
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description \*s5B
;===================================================================================================================================================================================
133387 MEDIUM MS06-065 \*s5B
133386 MEDIUM MS06-064 \*s5B
133385 MEDIUM MS06-063 \*s5B
133379 HIGH MS06-057 \*s5B
131654 HIGH MS06-055 \*s5B
129977 MEDIUM MS06-053 \*s5B
129976 MEDIUM MS06-052 \*s5B
126093 HIGH MS06-051 \*s5B
126092 MEDIUM MS06-050 \*s5B
126087 HIGH MS06-046 \*s5B
126086 MEDIUM MS06-045 \*s5B
126083 HIGH MS06-042 \*s5B
126082 HIGH MS06-041 \*s5B
126081 HIGH MS06-040 \*s5B
123421 HIGH MS06-036 \*s5B
123420 HIGH MS06-035 \*s5B
120825 MEDIUM MS06-032 \*s5B
120823 MEDIUM MS06-030 \*s5B
120818 HIGH MS06-025 \*s5B
120815 HIGH MS06-022 \*s5B
120814 HIGH MS06-021 \*s5B
117384 MEDIUM MS06-018 \*s5B
114666 HIGH MS06-015 \*s5B
114664 HIGH MS06-013 \*s5B
111790 MEDIUM MS06-011 \*s5B
108744 MEDIUM MS06-008 \*s5B
108743 MEDIUM MS06-007 \*s5B
108742 MEDIUM MS06-006 \*s5B
104567 HIGH MS06-002 \*s5B
104237 HIGH MS06-001 \*s5B
101055 HIGH MS05-054 \*s5B
96574 HIGH MS05-053 \*s5B
93396 HIGH MS05-052 \*s5B
93395 HIGH MS05-051 \*s5B
93394 HIGH MS05-050 \*s5B
93454 MEDIUM MS05-049 \*s5B
;===================================================================================================================================================================================
0