> Tous les forums > Forum Sécurité
 Virus win32 tratbhoSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
Courtjus
  Posté le 04/02/2008 @ 07:42 
Aller en bas de la page 
Astucien

salut

j'ai attraper ça win32 tratbho

avast se met en alerte au allentour de 23 h ( ça fait 2 jours )

le 1er jour j'ai essayé de supprimé ( 3 fichiers dll verolé ) mais le lendemain rebelote 2 fichiers dll de plus ( la j'ai mis en quarantaine )

comment faire pour virer cet

merci

Publicité
Fill
 Posté le 04/02/2008 à 09:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

1/

  • Télécharge Vundofix (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer.
  • Clique sur le bouton Scan for Vundo.
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo (uniquement si des fichiers infectieux sont trouvés).
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES.
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK.
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
2/
  • Télécharge combofix.exe (par sUBs) sur ton Bureau.
  • Double clique combofix.exe et suis les invites.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

3/ Edite les deux rapports précédents et un rapport Hijackthis (voir le sujet "pré-nettoyage" dans ma signature pour éditer ce rapport).

Fill

Courtjus
 Posté le 05/02/2008 à 07:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

salut

un grand merci de me prendre en charge

je vais essayer de regarder tout ça ce soir ou une petite partie ce soir ( pas mal de boulot ce début de semaine )

au pire mercredi soirée j'ai plus de temps

encore merci et a trés bientôt

Courtjus
 Posté le 06/02/2008 à 20:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

salut

procedure 1 commencé

trouvé dll contaminée

suivi procedure le pc redemarre

juste aprés j'ai spybot me demande si j'autorise ou refuse la modif registre de :

catégorie : System startup global entry

Modif : Valeur ajoutée

Element MSServer

Ancienne valeur : rundll32.exe C:\windows\system32\cbxvt.dll

j'accepte la modif ou pas

merci

Courtjus
 Posté le 06/02/2008 à 20:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

re

je precise que la maintenant j'ai monté un autre pc pour etre connecté

le pc infecté n'est pas connecté

Fill
 Posté le 06/02/2008 à 20:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Il faut refuser, compte-tenu de la dll.

Il faut aussi éditer les 2 rapports demandés.

Fill

Courtjus
 Posté le 06/02/2008 à 20:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

merci d'etre la

j'ai vu que t'es sur un autre post au secour d'un autre internautre

t'es trés demandé !!!!

je reviens sur spybot j'ai refusé mais je doit en etre a 20 ou 30 refus il me lache pas

il veux absolument modifié ( il es tétu y comprend pas le français apparament )

donc je fais quoi j'essai de le fermé définitivement ( si je peux ) au pire je désinstalle spybot je le remettrai plus tard

merci

Fill
 Posté le 06/02/2008 à 20:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Désactive temporairement spybot. De toute façon, cette alerte est normale si l'infection est présente.

Fill

Courtjus
 Posté le 06/02/2008 à 21:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

tout compte fais je l'ai fermé car il délirait

je me connecte sur le pc craignos et post le rapport de vundofix

Publicité
Courtjus
 Posté le 06/02/2008 à 21:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

re rapport vundofix :

C:\Windows\System32\dehkj.ini
C:\Windows\System32\dehkj.ini2
C:\Windows\System32\jkhed.dll
C:\Windows\System32\mljhihh.dll
C:\Windows\System32\opnnoop.dll

Fill
 Posté le 06/02/2008 à 21:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Courtjus a écrit :

re rapport vundofix :

C:\Windows\System32\dehkj.ini
C:\Windows\System32\dehkj.ini2
C:\Windows\System32\jkhed.dll
C:\Windows\System32\mljhihh.dll
C:\Windows\System32\opnnoop.dll


Re,

Le rapport n'est pas complet. Il me le faut en entier, ainsi que le rapport c:\combofix.txt

Fill

Courtjus
 Posté le 06/02/2008 à 21:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

rapport hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:15:18, on 06/02/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Windows\system32\rundll32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Téléchargement\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\cbxvt.dll,#1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\Windows\SYSTEM32\VundoFixSVC.exe

--
End of file - 6302 bytes

j'attaque la procedure 2

Courtjus
 Posté le 06/02/2008 à 21:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

hhhhha

bon je recommence

Courtjus
 Posté le 06/02/2008 à 21:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

alors a l'ouverture du fichier texte de vundofix il n'y a que ça :

C:\Windows\System32\dehkj.ini
C:\Windows\System32\dehkj.ini2
C:\Windows\System32\jkhed.dll
C:\Windows\System32\mljhihh.dll
C:\Windows\System32\opnnoop.dll
es ce que je rescanne et recommence la procedure

Fill
 Posté le 06/02/2008 à 21:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

OK. Je n'avais pas vu que tu avais Vista. Bon, je me lance. Jusque là, j'ai toujours refusé de les nettoyer, mais puisque tu es là.

Relance Vundofix en faisant un clic droit : Exécuter avec des privilèges administrateurs.

Edite ce rapport.

Fill

Courtjus
 Posté le 06/02/2008 à 21:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

ok je relance

( vista !!!!!!!! ça fais pas longtemps pour l'instant je regrette xp mais bon )

Courtjus
 Posté le 06/02/2008 à 22:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

alors nouveau rapport ( c'est le même )

C:\Windows\System32\cbxvt.dll
C:\Windows\System32\dehkj.ini
C:\Windows\System32\dehkj.ini2
C:\Windows\System32\jkhed.dll
C:\Windows\System32\mljhihh.dll

Publicité
Courtjus
 Posté le 06/02/2008 à 22:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

je lance combofix
Fill
 Posté le 06/02/2008 à 22:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Je crois qu'il faut désactiver l'UAC sous Vista : http://www.zebulon.fr/astuces/220-desactiver-l-uac-dans-vista.html

Recommence le passage de Vundofix au moyen du clic droit (Exécuter...).

Il ne faudra pas oublier de réactiver l'UAC en fin de nettoyage.

Fill

Courtjus
 Posté le 06/02/2008 à 22:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

me revoila

uac déja desactiver ( ça m'enervait sans arret fenetre qui oui ou non on veux faire ......... quoi que ce soit )

es ce important de le reactiver par la suite ?

es ce a cause de ça que j'ai choppé cette sal ?

rapport combofix :

ComboFix 08-02.05.3 - Denis 2008-02-06 22:07:26.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1153 [GMT 1:00]
Endroit: D:\Téléchargement\ComboFix.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\jkhed.dll
C:\Windows\system32\xxwxw.dll
C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat
C:\Windows\System32\dehkj.ini
C:\Windows\System32\dehkj.ini2
C:\Windows\system32\jkhed.dll
C:\Windows\system32\mljhihh.dll
C:\Windows\system32\xxwxw.dll

----- BITS: Possible sites infectés -----

hxxp://www.download.windowsupdate.com
.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-06 to 2008-02-06 ))))))))))))))))))))))))))))))))))))
.

2008-02-06 20:14 . 2008-02-06 20:14 24,576 --a------ C:\Windows\System32\VundoFixSVC.exe
2008-02-06 19:49 . 2008-02-06 21:56 <REP> d-------- C:\VundoFix Backups
2008-02-03 13:12 . 2008-02-03 13:37 <REP> d-------- C:\Program Files\CDBurnerXP
2008-02-02 18:53 . 2008-02-02 18:53 <REP> d-------- C:\Program Files\Foxit Software
2008-02-02 16:52 . 2008-02-02 16:52 <REP> d-------- C:\Users\Denis\AppData\Roaming\Nero
2008-02-02 16:48 . 2008-02-02 17:11 <REP> d-------- C:\Users\All Users\Nero
2008-02-02 16:48 . 2008-02-02 17:11 <REP> d-------- C:\ProgramData\Nero
2008-01-27 12:20 . 2007-01-10 02:14 4,286 -ra------ C:\Netgear.ico
2008-01-27 11:56 . 2008-01-27 12:20 <REP> d-------- C:\Netgear
2008-01-27 11:34 . 2008-01-27 11:34 <REP> d-------- C:\Users\Denis\AppData\Roaming\Media Player Classic
2008-01-27 11:33 . 2008-01-27 11:33 <REP> d-------- C:\Program Files\K-Lite Codec Pack
2008-01-21 03:02 . 2008-01-21 03:02 802,816 --a------ C:\Windows\System32\drivers\tcpip.sys
2008-01-21 03:02 . 2008-01-21 03:02 216,760 --a------ C:\Windows\System32\drivers\netio.sys
2008-01-21 03:02 . 2008-01-21 03:02 167,424 --a------ C:\Windows\System32\tcpipcfg.dll
2008-01-21 03:02 . 2008-01-21 03:02 24,064 --a------ C:\Windows\System32\netcfg.exe
2008-01-21 03:02 . 2008-01-21 03:02 22,016 --a------ C:\Windows\System32\netiougc.exe
2008-01-21 03:01 . 2008-01-21 03:01 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-01-21 03:01 . 2008-01-21 03:01 1,686,016 --a------ C:\Windows\System32\gameux.dll
2008-01-21 03:01 . 2008-01-21 03:01 11,776 --a------ C:\Windows\System32\sbunattend.exe
2008-01-20 13:53 . 2008-01-20 13:53 <REP> d-------- C:\Program Files\Hercules
2008-01-13 16:04 . 2008-01-13 16:04 74,848 --a------ C:\Windows\System32\GDIPFONTCACHEV1.DAT
2008-01-11 22:24 . 2008-01-11 22:56 <REP> d-------- C:\Program Files\PhotoFiltre
2008-01-06 14:45 . 2008-01-13 16:15 <REP> d-------- C:\Program Files\iColorFolder

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-03 14:32 --------- d-----w C:\Program Files\a-squared Free
2008-02-03 13:28 --------- d-----w C:\Program Files\CCleaner
2008-02-03 11:12 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-02-02 21:54 --------- d-----w C:\Users\Denis\AppData\Roaming\uTorrent
2008-02-02 15:29 --------- d-----w C:\Program Files\Common Files\Ahead
2008-01-27 15:58 --------- d-----w C:\Program Files\RogueRemover FREE
2008-01-21 02:08 --------- d-----w C:\Program Files\Windows Mail
2008-01-21 02:01 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-01-21 02:01 449,024 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-01-21 02:01 2,143,744 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-01-21 02:01 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-01-21 02:01 --------- d-----w C:\Program Files\Windows Sidebar
2008-01-20 12:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-16 19:36 --------- d-----w C:\Program Files\Unlocker
2008-01-13 17:22 --------- d-----w C:\Users\Denis\AppData\Roaming\Canon
2008-01-13 15:03 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-01-13 15:01 --------- d-----w C:\Program Files\uTorrent
2008-01-13 15:01 --------- d-----w C:\Program Files\Filzip
2008-01-08 12:36 --------- d-----w C:\Program Files\Common Files\Adobe
2008-01-05 11:57 --------- d-----w C:\Users\Denis\AppData\Roaming\Lavasoft
2008-01-05 11:56 --------- d-----w C:\Program Files\Lavasoft
2008-01-05 09:18 --------- d-----w C:\Program Files\jv16 PowerTools
2008-01-02 02:01 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-01-01 16:41 --------- d-----w C:\Program Files\IncrediMail
2008-01-01 16:13 --------- d-----w C:\Program Files\LHSP
2008-01-01 14:25 --------- d-----w C:\Users\Denis\AppData\Roaming\Logitech
2008-01-01 14:21 --------- d-----w C:\Program Files\Logitech
2008-01-01 14:21 --------- d-----w C:\Program Files\Common Files\Logitech
2007-12-31 19:10 --------- d-----w C:\Program Files\KeePass Password Safe
2007-12-31 08:49 --------- d-----w C:\Users\Denis\AppData\Roaming\vlc
2007-12-31 08:48 --------- d-----w C:\Program Files\VideoLAN
2007-12-31 07:31 --------- d-----w C:\Program Files\DVDVideoSoft
2007-12-31 07:31 --------- d-----w C:\Program Files\Common Files\DVDVideoSoft
2007-12-31 07:21 --------- d-----w C:\Program Files\FDRLab
2007-12-30 23:44 --------- d-----w C:\Users\Denis\AppData\Roaming\AdobeUM
2007-12-30 15:50 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2007-12-30 15:50 --------- d-----w C:\Program Files\Windows Live
2007-12-30 15:43 --------- d-----w C:\ProgramData\WLInstaller
2007-12-29 16:08 --------- d-----w C:\Users\Denis\AppData\Roaming\Talkback
2007-12-29 14:21 --------- d-----w C:\Users\Denis\AppData\Roaming\Thunderbird
2007-12-28 15:32 --------- d-----w C:\Users\Denis\AppData\Roaming\Ahead
2007-12-24 11:43 --------- d-----w C:\Users\Denis\AppData\Roaming\Grisoft
2007-12-23 13:46 --------- d-----w C:\ProgramData\Grisoft
2007-12-23 12:45 --------- d-----w C:\ProgramData\Yahoo! Companion
2007-12-23 12:41 --------- d-----w C:\ProgramData\IM
2007-12-23 12:40 --------- d-----w C:\ProgramData\IncrediMail
2007-12-23 11:55 --------- d--h--w C:\ProgramData\CanonBJ
2007-12-23 11:52 --------- d-----w C:\Program Files\Common Files\Canon
2007-12-22 17:57 174 --sha-w C:\Program Files\desktop.ini
2007-12-22 17:54 --------- d-----w C:\Program Files\Windows Defender
2007-12-22 17:54 --------- d-----w C:\Program Files\Windows Calendar
2007-12-22 17:51 70,144 ----a-w C:\Windows\system32\drivers\pacer.sys
2007-12-22 17:51 619,008 ----a-w C:\Windows\system32\drivers\dxgkrnl.sys
2007-12-22 17:51 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2007-12-22 17:51 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2007-12-22 17:51 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2007-12-22 17:50 258,232 ----a-w C:\Windows\system32\drivers\acpi.sys
2007-12-22 17:50 2,923,520 ----a-w C:\Windows\explorer.exe
2007-12-22 17:46 63,488 ----a-w C:\Windows\system32\drivers\mpsdrv.sys
2007-12-22 17:46 23,040 ----a-w C:\Windows\system32\drivers\tunnel.sys
2007-12-22 17:46 15,360 ----a-w C:\Windows\system32\drivers\TUNMP.SYS
2007-12-22 17:44 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2007-12-22 17:44 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2007-12-22 17:44 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2007-12-22 17:39 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2007-12-22 17:38 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys
2007-12-22 17:38 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys
2007-12-22 17:38 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys
2007-12-22 17:38 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys
2007-12-22 17:37 12,800 ----a-w C:\Windows\system32\drivers\fs_rec.sys
2007-12-22 17:37 --------- d-----w C:\Program Files\MSXML 4.0
2007-12-22 13:08 --------- d-----w C:\Program Files\Alwil Software
2007-12-22 11:25 32 ----a-w C:\Windows\system32\drivers\adidsl.cfg
2007-12-22 11:23 --------- d-----w C:\Users\Denis\AppData\Roaming\InstallShield
2007-12-22 11:23 --------- d-----w C:\Program Files\SAGEM
2007-12-09 11:16 --------- d-----w C:\Program Files\BestPractice
2007-12-09 10:11 --------- d-----w C:\ProgramData\LightScribe
2007-12-08 17:48 --------- d-----w C:\Program Files\MP3Gain
2007-12-08 12:34 --------- d-----w C:\ProgramData\Microsoft Help
2007-12-08 12:34 --------- d-----w C:\Program Files\Microsoft Works
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4A6CA598-5CA7-4C07-86E9-4B0697D3E7A7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76460D80-480D-40BF-AF0D-3A2D3B8DEF61}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2007-12-20 19:16 243072]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 13:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-12-22 18:48 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 12:04 4423680 C:\Windows\RtHDVCpl.exe]
"Acer Tour"="" []
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 23:04 464168]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 20:48 57344]
"PlayMovie"="C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe" [2007-07-13 21:24 178280]
"eRecoveryService"="" []
"Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-02-15 17:39 151552]
"NWEReboot"="" []
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-02-15 17:39 151552]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-08 13:03:56 110592]
PCM Media Sharing.lnk - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe [2007-05-06 20:33:11 200812]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Empowering Technology Monitor]
--a------ 2007-01-24 09:27 319488 C:\Acer\Empowering Technology\SysMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\MsnMsgr.exe

R0 AtiPcie;ATI PCI Express (3GIO) Filter;C:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 04:22]
R0 PSDFilter;PSDFilter;C:\Windows\system32\DRIVERS\psdfilter.sys [2007-02-06 23:04]
R0 PSDNServ;PSDNSERVER;C:\Windows\system32\drivers\PSDNServ.sys [2007-02-06 23:04]
R0 psdvdisk;psdvdisk;C:\Windows\system32\drivers\psdvdisk.sys [2007-02-06 23:04]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};C:\Program Files\Acer Arcade Live\Acer PlayMovie\000.fcl [2007-08-31 14:24]
R2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;"C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe" [2007-04-04 17:54]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-12-04 15:52]
R2 eDataSecurity Service;eDSService.exe;"C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe" [2007-02-06 23:04]
R2 int15;int15;C:\Acer\Empowering Technology\eRecovery\int15.sys [2006-12-07 17:12]
R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2007-10-12 08:34]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot []
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-03-14 15:04]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2007-03-23 03:12]
S2 ELOADER;General Purpose USB Driver (adildr.sys);C:\Windows\system32\Drivers\adildr.sys [2007-01-10 16:56]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 22:13:03
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-06 22:14:51 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-06 21:14:46
.
2008-02-06 11:58:40 --- E O F ---

Fill
 Posté le 06/02/2008 à 22:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

OK. Tu peux ré-éditer un rapport Hijackthis ?

Fill

Courtjus
 Posté le 06/02/2008 à 22:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Voila hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:28:59, on 06/02/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\SearchFilterHost.exe
D:\Téléchargement\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\Windows\SYSTEM32\VundoFixSVC.exe

--
End of file - 6620 bytes

Fill
 Posté le 06/02/2008 à 22:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Re,

Peux-tu relancer Vundofix avec des privilèges administrateurs pour voir si on a plus de chance ?

Fill

Courtjus
 Posté le 06/02/2008 à 22:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

ok
Courtjus
 Posté le 06/02/2008 à 22:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

si part cas on peut reprendre la suite sur plusieurs jours

pour moi ce n'est pas urgent a la minute prés

je peux utilisé un autre pc

je ne voudrais pas m'imposer vu l'heure

pour l'instant je rescanne et met le rapport en suivant

Courtjus
 Posté le 06/02/2008 à 23:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

aprés scan vundofix la fenetre reste vide vu ton 1er post tu disait de cliquer sur renove vundo si il trouvait des fichiers infectieux et apparament y a rien ds la fenetre de vundo
Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
=> Virus Win32:TratBHO (Dénomination Avast) & HELP
Win32:TratBHO [Trj] .... virus !!!!
Virus win32/Small.CA !
sujet de mick80 sur virus win32 : dropper-gen
virus win32/ramnit c
virus win32: somoto-j
Win32:Evo-gen Virus ?
PC infecté par le virus Win32/Small.CA
Virus variante de WIN32/spy.zbot.zr
Windows 7 : virus win32/Small.CA
Plus de sujets relatifs à Virus win32 tratbho
 > Tous les forums > Forum Sécurité