Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Vundo.gen/winfixer 2006 et autres trojans


Slimm

Messages recommandés

Bonsoir a ts !

je viens de m'acheter un nouveau pc et voila qu'en moins d'un mois je me retrouve blindé de virus qui me pourissent la vie!

Du style évidement winfixer 2006, spydoctor, deconnecter sans raison, disfonctionnement de mon clavier sur des jeux en ligne comme counter strike, un foutu fichier system32 (vtsts.dll) impossible à suprimer ou déplacer et pour courronner le tout je ne parviens pas à demarrer mon pc en mode sans echec!

j'ai découvert le monde informatique depuis peu et lui porte un réel intéret mais la je suis dépassé et demande votre aide !!

merci

Ps: si ce qui suit peu vous servir:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:46:07, on 30/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\odbc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Valve\Steam\Steam.exe

C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe

C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Nico\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\axnkkcpy.dll (file missing)

O2 - BHO: XBTP00560 - {424A466C-72E5-443e-BEA8-B372B28F395F} - C:\PROGRA~1\ONLINE~1\ONLINE~1.DLL (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\rmnnqles.dll (file missing)

O2 - BHO: (no name) - {E432C465-05CE-4AAD-92CF-506A8D867EA7} - C:\WINDOWS\system32\vtsts.dll (file missing)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Program Files\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [steam] C:\Program Files\Valve\Steam\\Steam.exe -silent

O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Program Files\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)

O9 - Extra 'Tools' menuitem: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Program Files\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1158962675190

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: winmbj32 - winmbj32.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Net message Service - Unknown owner - C:\WINDOWS\system32\netmsg.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ODBC service - Unknown owner - C:\WINDOWS\system32\odbc.exe

Lien vers le commentaire
Partager sur d’autres sites

Invité Laurent_62

Bonjour Slimm, Bienvenue sur Zebulon,

 

- Je te propose une procédure regroupant quelques opérations afin de nettoyer ton système. Cette procédure peut paraitre fastidieuse au premier abord mais cela n'est absolument pas le cas, il suffit de suivre les indications et tout se passera bien.

- N'hésites pas à poser des questions même si une question peut paraitre "idiote". Il vaut mieux paraitre idiot 5 minutes en posant une question que de le rester toute sa vie sans jamais avoir la réponse !

 

- Une partie de cette procédure s'effectuera en mode sans échec. Je te recommande d'imprimer ce qui suit ou en faire un copier coller dans un fichier texte que tu enregistreras de façon à le retrouver facilement y compris en mode sans échec (Le bureau par exemple)

- J'attire également ton attention sur l'importance de communiquer les résultats obtenus même si les symptômes ont disparus.

* l'absence de symptômes ne confirme en rien une absence d'infection.

 

Bon assez de blabla et attaquons ce nettoyage !

 

 

 

=> Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4

Si ce lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml

* Double-clique VundoFix.exe pour le lancer.

* Clique sur le bouton Scan for Vundo.

* Lorsque le scan est complété, clique sur le bouton Remove Vundo.

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

--le Bureau disparaîtra un moment lors de la suppression des fichiers.

* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK

* Démarre ton ordinateur

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

 

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

 

 

 

 

=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

-- Met le sur ton bureau

Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec

 

 

=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html

note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.

- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

=> Télécharge AVG AntiSpyware .

http://www.ewido.net/en/download/

-- Installe le

* Lance AVG AntiSpyware

-- menu Mises à jour

---- Clique sur le bouton Commencer la mise à jour

-- menu analyse onglet paramètres

---- dans la catégorie Rapports coche les cases

[X] Générer un rapport après chaque analyse

[X] Uniquement en cas de menace

---- Dans la catégorie Comment réagir ? sélectionne Quarantaine

* Quitte AVG anti-spyware

 

Note :

AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.

- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html

 

 

=> Redémarre ton PC en mode sans échec

-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

 

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.

* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]

-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

 

Note :

-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.

-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.

 

 

=> Lance Hijackthis

-- Clique sur Do a system scan only

---- Coche les cases correspondant à ces lignes (Attention certaines de ces lignes peuvent être absentes)

 

O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINDOWS\system32\axnkkcpy.dll (file missing)

O2 - BHO: XBTP00560 - {424A466C-72E5-443e-BEA8-B372B28F395F} - C:\PROGRA~1\ONLINE~1\ONLINE~1.DLL (file missing)

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\rmnnqles.dll (file missing)

O2 - BHO: (no name) - {E432C465-05CE-4AAD-92CF-506A8D867EA7} - C:\WINDOWS\system32\vtsts.dll (file missing)

O3 - Toolbar: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Program Files\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)

O9 - Extra button: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Program Files\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)

O9 - Extra 'Tools' menuitem: onlinepixel24 Toolbar - {81CFC095-AC7A-4B6C-9EBF-9B353A7A7EE2} - C:\Program Files\onlinepixel24 Toolbar\onlinepixel24.dll (file missing)

O20 - Winlogon Notify: winmbj32 - winmbj32.dll (file missing)

 

---- Clique sur Fix cheked

-- Quitte Hijackthis

 

 

=> Autorise l'affichage des fichiers et dossiers cachés

 

* Clique sur Démarrer >>> Panneau de configuration

* Dans le menu en haut clique sur Outils choisis Option des dossiers

* Sélectionne l'onglet Affichage

-- [X] Coche Afficher les Fichiers et dossiers cachés

-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation

-- [ ] Décoche Masquer les extensions dont le type est connu

* clique succesivement sur

-- En haut Appliquer à tous les dossiers

-- En bas Appliquer et Ok pour valider les changements

* Ferme la fenêtre

 

 

=> Recherche et supprime ce(s) dossier(s) (si présent)

C:\Program Files\Fichiers communs\BOONTY Shared

C:\Program Files\onlinepixel24 Toolbar

 

 

=> Recherche et supprime ce(s) fichiers(s) (si présent)

C:\WINDOWS\system32\vtsts.dll

C:\WINDOWS\system32\rmnnqles.dl

C:\WINDOWS\system32\axnkkcpy.dll

C:\WINDOWS\system32\odbc.exe

 

 

=> Lance ATF-Cleaner :

* Sous l'onglet Main, choisis : Select All

* Clique sur le bouton Empty Selected

 

 

* Sous l'onglet Firefox (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

 

* Sous l'onglet Opéra (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

* Quitte ATF-Cleaner

 

 

=> Lance jv16-powertools

* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok

* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre

* Clique sur Continuer et Démarrer

* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques

* Clique en bas sur Supprimer puis Fermer

* quitte Jv16

 

 

=> Lance AVG AntiSpyware

* Menu analyse

-- Onglet Analyser

* clique sur analyse complète du système pour lancer le scan

* Le scan fini clique sur Appliquer toutes les actions

-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau

* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

 

 

=> Redémarre en mode normal

 

 

=> Fais un scan en ligne avec Internet explorer

* Rend toi sur ce site http://www.pandasoftware.fr/Activescan/Activescan.html

-- Clique sur l'image Analyser votre PC

-- Complète ou rempli les champs demandés (province et E-mail)

-- Clique sur l'image analyser gratuitement maintenant pour continuer

note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.

-- L'installation et la mise à jour de la base antivirale se feront automatiquement.

* choisis Poste de travail pour lancer le scan

* Une fois le scan terminé sauvegarde le rapport Clique sur consulter le rapport (en haut) puis sur le bouton sauvegarder le rapport

-- Pour le retrouver facilement met le sur le bureau

* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

 

Note :

- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809

- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. je te conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)

- Si besoin tu trouveras un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Et enfin un dernier scan pour vérifier qu'il n'y ai pas un Rootkit qui traine

 

=> Télécharge F-Secure Blacklight : (F-Secure) https://europe.f-secure.com/blacklight/try.shtml

* Clique en bas sur I accept

-- Dans la nouvelle fenêtre sur le lien Download Blacklight Beta graphical user interface version

-- Met le sur ton bureau

* Lance-le en double-cliquant sur le fichier blbeta.exe

-- Accepte la licence (après l'avoir lue), puis clique sur Scan

note : Ce scan peut prendre un certain temps il faut donc être patient

-- Une fois le scan terminé clique sur Next

important : N'utilise pas la fonction cleaning pour le moment.

 

-- Un rapport sera généré dans le même dossier que blbeta.exe (bureau) et se présente sous le nom fsbl-bxxxx.log (les xxxx sont des chiffres).

-- Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

 

note : si besoin un tutoriel est consultable ici http://www.malekal.com/tutorial_f-secure_BlackLight.html

 

 

=> Résultat

- Post les différents rapports obtenus

-- Blacklight

-- Vundofix

-- Panda online

-- AVG Anti-spyware

-- Un nouveau log Hijackthis (fait en mode normal)

-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.

 

Bon courage.

Lien vers le commentaire
Partager sur d’autres sites

Salut laurent 62 merci pour ce coup de main !

Bon commençons par vundofix, voici le rapport et effectivement il s'est relancé au redemarrage !

je poursuis ta demarche !!!!

 

VundoFix V6.2.6

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 21:32:25 30/10/2006

 

Listing files found while scanning....

 

C:\WINDOWS\system32\axnkkcpy.dll

C:\WINDOWS\system32\jdfnesge.dll

C:\WINDOWS\system32\rmnnqles.dll

C:\WINDOWS\system32\xmegdxku.dll

C:\WINDOWS\system32\vtsts.dll

C:\WINDOWS\system32\ststv.ini

C:\WINDOWS\system32\ststv.bak1

C:\WINDOWS\system32\ststv.bak2

C:\WINDOWS\system32\ststv.ini2

C:\WINDOWS\system32\ststv.tmp

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\axnkkcpy.dll

C:\WINDOWS\system32\axnkkcpy.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\jdfnesge.dll

C:\WINDOWS\system32\jdfnesge.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\rmnnqles.dll

C:\WINDOWS\system32\rmnnqles.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\xmegdxku.dll

C:\WINDOWS\system32\xmegdxku.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\vtsts.dll

C:\WINDOWS\system32\vtsts.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\ststv.ini

C:\WINDOWS\system32\ststv.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ststv.bak1

C:\WINDOWS\system32\ststv.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ststv.bak2

C:\WINDOWS\system32\ststv.bak2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ststv.ini2

C:\WINDOWS\system32\ststv.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ststv.tmp

C:\WINDOWS\system32\ststv.tmp Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\vtsts.dll

C:\WINDOWS\system32\vtsts.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.2.6

 

Checking Java version...

 

Java version is 1.5.0.6

 

Scan started at 01:36:53 31/10/2006

 

Listing files found while scanning....

 

No infected files were found.

 

 

Beginning removal...

Lien vers le commentaire
Partager sur d’autres sites

Et voili le rapport de avg antispyware avant de redémarrer en mode normal :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 03:07:14 31/10/2006

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{A317C0DE-47D1-4BBD-8323-DBA5F8EE75F0}\RP208\A0035977.dll -> Adware.Softomate : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\SpOrder.dll -> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\winpack32.exe -> Backdoor.Bifrose.aap : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A317C0DE-47D1-4BBD-8323-DBA5F8EE75F0}\RP209\A0048317.exe -> Trojan.Agent.ye : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A317C0DE-47D1-4BBD-8323-DBA5F8EE75F0}\RP209\A0048129.dll -> Trojan.BHO.g : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A317C0DE-47D1-4BBD-8323-DBA5F8EE75F0}\RP209\A0048130.dll -> Trojan.BHO.g : Nettoyé et sauvegardé (mise en quarantaine).

C:\VundoFix Backups\rmnnqles.dll.bad -> Trojan.BHO.g : Nettoyé et sauvegardé (mise en quarantaine).

C:\VundoFix Backups\xmegdxku.dll.bad -> Trojan.BHO.g : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Nico\Local Settings\Temp\NI.UWA6PV_0001_N91M2107\setup.exe -> Trojan.Fakealert : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

Lien vers le commentaire
Partager sur d’autres sites

Après avg voici panda :

 

 

Incident Statut Analyse

 

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Nico\Cookies\nico@doubleclick[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Nico\Cookies\nico@xiti[1].txt

Outil indésirable:Application/VSToolbar No Désinfecté C:\Documents and Settings\Nico\Local Settings\Temp\tjlgnltl.exe

Outil indésirable:Application/VSToolbar No Désinfecté C:\Documents and Settings\Nico\Local Settings\Temp\vdfmlxrv.exe

Spyware:Spyware/Virtumonde No Désinfecté C:\VundoFix Backups\axnkkcpy.dll.bad

Adware:Adware/WebSearch No Désinfecté C:\VundoFix Backups\jdfnesge.dll.bad

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\hosts

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\hosts.sam

Virus:Trj/Qhost.gen Renommé C:\WINDOWS\system32\drivers\etc\hosts

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\system32\drivers\etc\hosts.20061021-165814.backup

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\system32\drivers\etc\hosts.msn

Outil indésirable:Application/VSToolbar No Désinfecté C:\WINDOWS\system32\gmqxcfvh.exe

Virus:Trj/Qhost.gen Désinfecté C:\WINDOWS\system32\hosts

Lien vers le commentaire
Partager sur d’autres sites

Invité Laurent_62

Bonjour slimm,

 

C'est du bon boulot déjà. :P

 

 

Afin de vérifier un peu tout ca pourrais tu mettre le rapport Blaklight ainsi qu'un nouveau log Hijackthis s'il te plait.

 

 

En attendant je vais te demander de faire une petite manipulation.

=> Rend toi sur ce site http://www.uploadmalware.com/

 

Rempli les champs du formulaire comme suit

 

Your Username: Ton pseudo

Topic Where File Was Requested: L'adresse de cette question

File(s) To Submit:

-- Dans la case 1.

clique sur parcourir, choisis ce fichier : C:\WINDOWS\system32\gmqxcfvh.exe

Comments Or Further Info: Des commentaires éventuels (En anglais)

 

Clique ensuite sur Sendfile

 

Merci, bonne journée

Modifié par Laurent_62
Lien vers le commentaire
Partager sur d’autres sites

et enfin voila les deux derniers rapports de blacklight et hijacckthis:

 

10/31/06 03:56:16 [info]: BlackLight Engine 1.0.47 initialized

10/31/06 03:56:16 [info]: OS: 5.1 build 2600 (Service Pack 2)

10/31/06 03:56:16 [Note]: 7019 4

10/31/06 03:56:16 [Note]: 7005 0

10/31/06 03:56:19 [Note]: 7006 0

10/31/06 03:56:19 [Note]: 7011 1388

10/31/06 03:56:19 [Note]: 7026 0

10/31/06 03:56:19 [Note]: 7026 0

10/31/06 03:56:21 [Note]: FSRAW library version 1.7.1020

10/31/06 08:17:58 [Note]: 7007 0

 

 

 

 

 

 

et le suivant :

Logfile of HijackThis v1.99.1

Scan saved at 08:23:24, on 31/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Nico\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1158962675190

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

 

 

Voila laurent ferais la derniere manip de ton dernier post ce soir en rentrant car la faut aller au taf !!!

Merci encore pour tout ! bonne journée !

Lien vers le commentaire
Partager sur d’autres sites

Invité Laurent_62

Bonjour slimm,

 

Ne t'inquiètes pas je reprend tout dans l'ordre

 

 

=> Rend toi sur ce site http://www.uploadmalware.com/

 

Rempli les champs du formulaire comme suit

 

Your Username: slimm

Topic Where File Was Requested: http://forum.zebulon.fr/index.php?showtopic=107686

File(s) To Submit:

-- Dans la case 1.

clique sur parcourir, choisis ce fichier : C:\WINDOWS\system32\gmqxcfvh.exe

 

Clique ensuite sur Sendfile

 

 

 

Une fois cela fait on va supprimer les fichiers détectés

 

=> Désactive la restauration système

-- Afin de nettoyer les points de restauration infectés et éviter ainsi de voir revenir les soucis.

 

* Menu démarrer >> panneau de configuration

-- Double clique sur l'icône système.

* dans l'onglet restauration système

- [X] coche la case : Désactiver la restauration du système sur tous les lecteurs

* clique sur ok pour valider les changements

 

 

=> Télécharge Killbox http://www.bleepingcomputer.com/files/killbox.php

-- Décompresse le sur le bureau

- Clique sur Démarrer exécuter tape notepad puis clique sur Ok

- Sélectionne le texte en citation et fais en un copier coller dans le blocnote (notepad)

C:\Documents and Settings\Nico\Local Settings\Temp\tjlgnltl.exe

C:\Documents and Settings\Nico\Local Settings\Temp\vdfmlxrv.exe

C:\VundoFix Backups\axnkkcpy.dll.bad

C:\VundoFix Backups\jdfnesge.dll.bad

C:\WINDOWS\system32\gmqxcfvh.exe

* Dans le bloc notes sur le menu en haut clique sur Edition >>> Sélectionner tout puis Edition >>> Copier

* Ouvre Killbox

-- Coche la case [X] "Delete on next reboot"

-- Clique sur le menu File puis sur Paste from Clipboard

 

* Clique sur la croix blanche sur fond rouge

-- au message "All listed files will be deleted on next reboot" clique sur OUI

-- Au message "Files will be removed on next reboot, Do you want to reboot now ?" clique sur OUI

-- Redémarre ton ordinateur s'il ne le fait pas automatiquement

 

* Aprés son redémarrage supprime le dossier C:\!Killbox

 

 

=> Supression des outils spécifiques

 

- Supprime les fichiers téléchargés et décompressés concernant

-- Vundofix (y compris le dossier c:\vundofix

-- Fsecure Blacklight.

 

 

=> Réactive la restauration système

-- Un point de restauration tout propre sera recréé

 

* Menu démarrer >> panneau de configuration

-- Double clique sur l'icône système.

* dans l'onglet restauration système

- [ ] Décoche la case : Désactiver la restauration du système sur tous les lecteurs

* clique sur ok pour valider les changements

 

 

Refais un scan en ligne pour vérifier que tout est bien nettoyé si besoin post le rapport ainsi qu'un point sur tes problèmes. Sonbt ils encore présents si oui comment se manifestent ils ?

 

Bonne soirée

Modifié par Laurent_62
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...