Envoie d'email tout seul AVAST en allerte

Envoie d'email tout seul AVAST en allerte Sujet résolu

Ajouter un message à la discussion

Pages : [1] 2 ... Fin

wazaa73

Posté le 20/06/2008 @ 14:38

Salut à tous,

Mon AVAST se met en rogne car apparrement mon pc envoie des emails tout seul,

Voici mon compte rendu Hijack This

Merci d'avance pouir votre aide car je désespère

@ +

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:05, on 20/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\Program Files\AVG\AVG8\avgscanx.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 1670 bytes

wazaa73

Posté le 20/06/2008 à 15:00

desinstallé AVG et Voici mon nouveau rapport :

Aidez mi j'en peut plus

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184089192234
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8A174E8-385A-40B7-9C71-F054299EB023}: NameServer = 213.36.80.1
O20 - Winlogon Notify: mchgrcoi32 - C:\WINDOWS\SYSTEM32\mchgrcoi32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 6621 bytes

Evasion60

Posté le 20/06/2008 à 18:43

Groupe Sécurité

Bonjour, Cool

Clique dans ma signature " Pré-nett d'un PC infecté ", de Chercheur
Reviens dans ta réponse avec les deux rapports demandés :
-1- MalwareBytes
-2- HijackThis

A te lire

wazaa73

Posté le 22/06/2008 à 12:19

Voici le rapport de Malwarebytes

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 873

12:13:48 22/06/2008
mbam-log-6-22-2008 (12-13-48).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 91726
Temps écoulé: 25 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Et voici le rapport hijack this

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184089192234
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8A174E8-385A-40B7-9C71-F054299EB023}: NameServer = 213.36.80.1
O20 - Winlogon Notify: mchgrcoi32 - C:\WINDOWS\SYSTEM32\mchgrcoi32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 6605 bytes

MERCI de ton aide

@ +

Evasion60

Posté le 22/06/2008 à 12:33

Groupe Sécurité

Bonjour Wazaa73

... Quand tu postes un log HijackThis, il me le faut en " entier " / OK --->Merci

-1- Télécharge VundoFix (par Atribune) sur ton Bureau :

Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

-2- Télécharge VirtumundoBeGone sur ton bureau .

* double-clic sur VirtumundoBeGone.exe
* Suis les instructions à l'écran
* Quand le scan est terminé, enregistre le rapport.
* Copie/Colle le ici

... Reviens dans ta réponse avec les deux rapports / STP

wazaa73

Posté le 22/06/2008 à 17:50

Rapport txt wundo :

C:\Windows\system32\divxdec_0407.dll
C:\Windows\system32\divxdec_0411.dll

Rapport Highjackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:45, on 22/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\WAZAA ZAZOU\Local Settings\Temporary Internet Files\Content.IE5\25Z5NQPP\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184089192234
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8A174E8-385A-40B7-9C71-F054299EB023}: NameServer = 213.36.80.1
O20 - Winlogon Notify: mchgrcoi32 - C:\WINDOWS\SYSTEM32\mchgrcoi32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 6683 bytes

Rappory virtumundo

[06/22/2008, 17:49:41] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\WAZAA ZAZOU\Bureau\VirtumundoBeGone.exe" )
[06/22/2008, 17:49:43] - Detected System Information:
[06/22/2008, 17:49:43] - Windows Version: 5.1.2600, Service Pack 2
[06/22/2008, 17:49:43] - Current Username: WAZAA ZAZOU (Admin)
[06/22/2008, 17:49:43] - Windows is in NORMAL mode.
[06/22/2008, 17:49:43] - Searching for Browser Helper Objects:
[06/22/2008, 17:49:43] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/22/2008, 17:49:43] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[06/22/2008, 17:49:43] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/22/2008, 17:49:43] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[06/22/2008, 17:49:43] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[06/22/2008, 17:49:43] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/22/2008, 17:49:43] - BHO 4: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[06/22/2008, 17:49:43] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/22/2008, 17:49:43] - No filename found. Continuing.
[06/22/2008, 17:49:43] - BHO 5: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[06/22/2008, 17:49:43] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/22/2008, 17:49:43] - BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[06/22/2008, 17:49:43] - Finished Searching Browser Helper Objects
[06/22/2008, 17:49:43] - Finishing up...
[06/22/2008, 17:49:43] - Nothing found! Exiting...

MERCI

Evasion60

Posté le 22/06/2008 à 18:25

Groupe Sécurité

Re Waraa73

... Ce rapport est incomplet :

C:\Windows\system32\divxdec_0407.dll
C:\Windows\system32\divxdec_0411.dll

... Recommence / STP, et poste l'intégralité du rapport Vundo / Merci

A te lire, bonne réception

Modifié par Evasion60 le 22/06/2008 18:26

wazaa73

Posté le 22/06/2008 à 18:53

VundoFix V7.0.6

Scan started at 17:31:31 22/06/2008

Listing files found while scanning....

C:\Windows\system32\divxdec_0407.dll
C:\Windows\system32\divxdec_0411.dll

Beginning removal...

Attempting to delete C:\Windows\system32\divxdec_0407.dll
C:\Windows\system32\divxdec_0407.dll Has been deleted!

Attempting to delete C:\Windows\system32\divxdec_0411.dll
C:\Windows\system32\divxdec_0411.dll Has been deleted!

Performing Repairs to the registry.
Done!

Evasion60

Posté le 22/06/2008 à 19:20

Groupe Sécurité

OK, tu le fait en " solo "---> Pourquoi demandes-tu de l'aide

Jamais je t'ai demandé de passer par l'option 2 de Vundo / OK

Bien, poste un nouveau log HijacThis de ce soir

Bonne réception

wazaa73

Posté le 22/06/2008 à 20:11

Désolé mais je maitrise pas tout les logiciels dont tu me parles donc je fais surement des erreurs ;-)

Voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:46, on 22/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\WAZAA ZAZOU\Bureau\HiJackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

--
End of file - 6455 bytes

Evasion60

Posté le 22/06/2008 à 22:23

Groupe Sécurité

Re Wazaa73

Relance Vundofix mais ne clique pas sur "Scan for Vundo".
Fais un clic droit sur la fenêtre blanche et choisis "add more files".
Indique le ou les fichiers suivants dans les cases (un fichier par case) :

C:\WINDOWS\SYSTEM32\mchgrcoi32.dll

Clique sur "add files" puis "close windows".
Clique sur "Remove Vundo". Un redémarrage sera peut-être nécessaire.
Poste le rapport généré. Il se trouve ici : C:\vundofix.txt

... Poste donc son rapport / STP

Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau.
Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarre ton ordinateur.
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Déroule la liste des instructions ci-dessous :
- En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
- Appuie sur Y pour commencer le script.
- Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

... Merci Ananda

Bonne réception et à te lire

wazaa73

Posté le 22/06/2008 à 23:11

Ca commence mal après le add more file j'ai pas le close windows et donc pas de remove wudo.

Que faire?

Merci

Anonyme

Posté le 23/06/2008 à 13:42

à waaza73, salut,

J'ai aussi été infecté récemment par ce cheval de troie qui fonctionne avec un minuteur et envoie des e-mails au nom d'une banque (Natwest Bank Digital Banking, victime d'une opération de phishing).

La solution est celle précédemment indiquée : désactivation de la protection des e-mails et désinfection avec SDFix en mode sans échec. Ce trojan peut porter plusieurs noms, pour ma part il s'agissait de ""aspimgr.exe"". Il y a plusieurs fichiers que SDFix a supprimé sans difficulté.

ATTENTION - après la désinfection faire une recherche système en entrant le nom de l'executable pour la bonne raison que cette cochonnerie possède la faculté de se régénérer lors de la désinfection, heureusement une seule fois, sous un nom légèrement différent : ""ASPIMGR.EXE-105B8CCF.pf"" (pour ce qui me concerne - faire une recherche Google avec ce dernier nom; une seule réponse mais édifiante !).

Bon courage.

Evasion60

Posté le 23/06/2008 à 19:15

Groupe Sécurité

Bonjour Wazaa73

... Bien tu en es ou ?
A te lire, bonne réception

wazaa73

Posté le 23/06/2008 à 21:18

J'ai fait l'operation SDFIX en mode sans echec , voici le rapport

SDFix: Version 1.196
Run by WAZAA ZAZOU on 23/06/2008 at 21:03

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 21:09:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\InstantTouch\\bin\\CmCenterV2.exe"="C:\\Program Files\\InstantTouch\\bin\\CmCenterV2.exe:*:Enabled:CmCenter Module"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Disabled:Internet Explorer"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Namo\\WebEditor 6 Trial\\bin\\WebEditor.exe"="C:\\Program Files\\Namo\\WebEditor 6 Trial\\bin\\WebEditor.exe:*:Disabled:Namo WebEditor 6"
"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"="C:\\Program Files\\Pando Networks\\Pando\\pando.exe:*:Enabled:Pando Application"
"C:\\Documents and Settings\\WAZAA ZAZOU\\Local Settings\\Temp\\90exmdnk54.exe"="C:\\Documents and Settings\\WAZAA ZAZOU\\Local Settings\\Temp\\90exmdnk54.exe:*:Disabled:90exmdnk54"
"C:\\Documents and Settings\\WAZAA ZAZOU\\Local Settings\\Temp\\23exmdnk54.exe"="C:\\Documents and Settings\\WAZAA ZAZOU\\Local Settings\\Temp\\23exmdnk54.exe:*:Disabled:23exmdnk54"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

Files with Hidden Attributes :

Thu 13 Sep 2007 88 ..SHR --- "C:\WINDOWS\system32\8499075EA8.sys"
Thu 13 Sep 2007 3,140 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sat 22 Dec 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 10 Jul 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\02c79cc13a0fecff62e77dc52a48ff5b\BIT30.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\197dbdbaf432578a1aed91d0e8afa977\BIT1B.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1d3c4c1451812141a6e0e32d7be87897\BIT16.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\226d84efe1cfc5873c1c3fc2870e1b2b\BITE.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT1.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\29a60ebfa005494f38949f196e2212ea\BIT48.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\38d128e33cb0030aeaafbc3122582b89\BIT60.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4598923e33b80c1559b6def98d33e1eb\BIT28.tmp"
Sun 14 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\493c50fe9f23ee81559d491f3f423dc0\BIT39.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5c121fa6d64678e2ff5605a17c4c8486\BITB.tmp"
Sun 14 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6658f544763a012c23109e05e811db81\BIT38.tmp"
Sun 14 Oct 2007 1,102,516 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\73e2e9ec90b2a8bdc65c191633d70158\BIT3E.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8984d97a1cbea106f42274d45311b846\BIT3A.tmp"
Sun 14 Oct 2007 1,229,688 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a1feda554f795971fda237333f75243f\BIT3D.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a480caac7232ed0f8836dcd2ef4bae3a\BIT47.tmp"
Sun 14 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b79817f6eaff5d013a81bd2aff4f2954\BIT3A.tmp"
Sun 14 Oct 2007 4,830,072 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\be055ba2b2ed973399d61482c6723317\BIT3C.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbb56cdd545dce1c35f6c35ff23bd039\BIT22.tmp"
Sun 14 Oct 2007 12,396,400 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d87fb8947e75ca18dc081689c7a9b0bf\BIT3B.tmp"
Tue 10 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f66a6166ea282e9ef1287280711b90a1\BIT1A.tmp"
Tue 10 Jul 2007 713,488 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fad9d38c27a2a69266137b443f3b89bd\BITA.tmp"

Finished!

Et voici le dernier hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:12, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\WAZAA ZAZOU\Bureau\HiJackThis.exe

--
End of file - 6626 bytes

Voila j'espere que ca vous aidera pour m'aider

Merci d'avance

A+

Ananda

Posté le 23/06/2008 à 22:42

Bonsoir,

En attendant le retour d'Evasion60,

Pourrais-tu suivre ce tuto

https://forum.pcastuces.com/scan_chez_virus_total-f31s15.htm

et faire analyser ce fichier (en gras)

C:\WINDOWS\system32\8499075EA8.sys

Bonne soirée

Evasion60

Posté le 24/06/2008 à 18:10

Groupe Sécurité

Bonjour Wazaa73

... Ananda, merci du passage :

Wazaa73 donc deux choses à compléter, et à m'informer :
-1- Que donne ton PC, après le passage de SDFix ?
-2- Oui, le résultat du passage de : C:\WINDOWS\system32\8499075EA8.sys --->Sur VirusTotal ?

Bonne réception, et à te lire

Modifié par Evasion60 le 24/06/2008 18:10

wazaa73

Posté le 24/06/2008 à 20:26

Salut

Rien de mieux apres sdfix et pour le fichier C:\WINDOWS\system32\8499075EA8.sys celui ci ne s'y trouve pas

J'en ai marre HELP SVP

A +

Modifié par wazaa73 le 24/06/2008 20:27

Evasion60

Posté le 24/06/2008 à 20:52

Groupe Sécurité

wazaa73 a écrit :

Salut

Rien de mieux apres sdfix et pour le fichier C:\WINDOWS\system32\8499075EA8.sys celui ci ne s'y trouve pas

J'en ai marre HELP SVP

A +

... Bien sûr que si qu'il est présent

Reprend le tuto de VirusTotal, pour l'analyser, et publier son rapport / STP
A te lire

wazaa73

Posté le 24/06/2008 à 22:18

non desolé pas de 8499075EA8.sys dans windows , j'ai même lancé une recherche.Y a t-il des options windows que je n'ai pas d'activé (je sais pas).

Pas de fichier = pas d'analyse total virus

J'en peut plus vivement que ca s'arrete (20mn pr ecrire ce post)

Merci d'avance

Evasion60

Posté le 24/06/2008 à 22:51

Groupe Sécurité

wazaa73 a écrit :

non desolé pas de 8499075EA8.sys dans windows , j'ai même lancé une recherche.*** Y a t-il des options windows que je n'ai pas d'activé (je sais pas).

Pas de fichier = pas d'analyse total virus

J'en peut plus vivement que ca s'arrete (20mn pr ecrire ce post)

... *** Oui, peut-etre :

Assure toi d'avoir accès aux Fichiers/Dossiers Cachés :
démarrer
-poste de travail ou autre dossier
-menu outils
-options de dossier
-onglet affichage

puis,
- activer la case : Afficher les fichiers et dossiers cachés
- désactiver la case : Masquer les extensions des fichiers dont le type est connu
- désactiver la case : Masquer les fichier protégés du système d'exploitation
Puis - Appliquer

... Ensuite retour sur VirusTotal pour analyser : ( avec le lien et tuto donnés, plus haut )
C:\WINDOWS\system32\8499075EA8.sys .

A demain, et à te lire

wazaa73

Posté le 26/06/2008 à 22:54

Non désolé mais ton fichier ne s'y trouve pas , y a rien dans windows32(j'ai verifie avant mes parametres windows) et toujours ce message AVAST(19 fenetre en moyenne, quand je les fermes il y en a d'autres quii reviennent aussitot) .

As-tu autre chose pour moi STP.

A +

Anonyme

Posté le 26/06/2008 à 23:41

salut wazaa73,

Avast réagit par des messages d'alerte du fait que de trop nombreux e-mails identiques sont expédiés par ta machine;

ça ne va pas régler ton problème d'infection, mais si ces messages d'alerte t'exaspèrent tu peux désactiver la surveillance du courrier électronique dans la gestion de la protection résidente (voir mon post antérieur) et Avast n'affichera plus rien.

Cordialement

Ananda

Posté le 26/06/2008 à 23:42

Bonsoir wazaa73,

Evasion60 doit

************

Fait ceci, STP

Télécharge OTMoveIt2 (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt2.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche (couleur Bleu) de OTMoveIt2 :Paste standard List of Files/Folders to be moved.

C:\Documents and Settings\WAZAA ZAZOU\Local Settings\Temp\90exmdnk54.exe
C:\Documents and Settings\WAZAA ZAZOU\Local Settings\Temp\23exmdnk54.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\\\\\\\\_OTMoveIt\MovedFiles\********.log

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

Et dis-moi comment se comporte ton PC

*****************

Fais ensuite la manip sur Virus Total avec ce fichier

C:\WINDOWS\SYSTEM32\mchgrcoi32.dll

Modifié par Ananda le 26/06/2008 23:49

wazaa73

Posté le 27/06/2008 à 20:32

Je comprend plus rien, j'ai rien fais et apparement mon pc (et avast)ne s'affolle plus.

J'ai regardé ce que tu m'a dit amanda mais désolé aucun .exe dans c:/local setting/temp

La je part en vacance pour 3 semaine donc je serai en silence radio mais dès mon retour on va corrigé ce problème.

A bientôt tout le monde.

@ +

Wazaa73

Ananda

Posté le 27/06/2008 à 23:07

Bonsoir wazaa73,

Le passage de VundoFix et SDFix ont arrangés les choses,

mais ton PC semble encore infecté.

Cela peut bien attendre

Passe de Bonnes Vacances on verra ça à ton retour.

Pages : [1] 2 ... Fin

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

Les bons plans du moment PC Astuces

Tous les Bons Plans

49,99 €

Souris Logitech MX Master (unify, bluetooth, capteur laser) à 49,99 €
Valable jusqu'au 22 Janvier

Amazon fait une promotion sur l'excellente souris sans fil Logitech MX Master qui passe à 49,99 € livrée gratuitement alors qu'on la trouve ailleurs à partir de 70 €. Cette souris offre une double connectivité sans fil unify ou bluetooth. Son capteur laser Dark field vous permettra de l'utiliser sur n'importe quelle surface.

> Voir l'offre

90,50 €

SSD Samsung 860 QVO 1 To à 90,50 €
Valable jusqu'au 22 Janvier

Amazon fait une promotion sur le SSD Samsung 860 QVO 1 To qui passe à 90,50 € livré gratuitement. Ce SSD offre des vitesses de 550 Mo/s en lecture et 520 Mo/s en écriture. Il est garanti 3 ans.

> Voir l'offre

18,90 €

Switch Gigabit TP-Link 8 ports métal à 18,90 €
Valable jusqu'au 24 Janvier

Amazon propose actuellement le switch Gigabit TP-Link TL-SG108 8 ports (10/100/1000) dans un boîtier métal à 18,90 €. On le trouve habituellement autour de 30 €.

> Voir l'offre