mon pc est infecté!

[eaumer]

voici donc les rapports:

 

[11/05/2006, 9:38:53] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe" )

[11/05/2006, 9:38:59] - Detected System Information:

[11/05/2006, 9:38:59] - Windows Version: 5.1.2600, Service Pack 1

[11/05/2006, 9:38:59] - Current Username: Administrateur (Admin)

[11/05/2006, 9:38:59] - Windows is in SAFE mode with Networking.

[11/05/2006, 9:38:59] - Searching for Browser Helper Objects:

[11/05/2006, 9:38:59] - BHO 1: {9A36CEDC-2619-43F0-8108-50A321AD3057} ()

[11/05/2006, 9:38:59] - WARNING: BHO has no default name. Checking for Winlogon reference.

[11/05/2006, 9:38:59] - Checking for HKLM\...\Winlogon\Notify\awtqnkh

[11/05/2006, 9:38:59] - Found: HKLM\...\Winlogon\Notify\awtqnkh - This is probably Virtumundo.

[11/05/2006, 9:38:59] - Assigning {9A36CEDC-2619-43F0-8108-50A321AD3057} MSEvents Object

[11/05/2006, 9:38:59] - BHO list has been changed! Starting over...

[11/05/2006, 9:38:59] - BHO 1: {9A36CEDC-2619-43F0-8108-50A321AD3057} (MSEvents Object)

[11/05/2006, 9:38:59] - ALERT: Found MSEvents Object!

[11/05/2006, 9:38:59] - BHO 2: {A8B28872-3324-4CD2-8AA3-7D555C872D96} (DeskbarBHO)

[11/05/2006, 9:38:59] - Finished Searching Browser Helper Objects

[11/05/2006, 9:38:59] - *** Detected MSEvents Object

[11/05/2006, 9:38:59] - Trying to remove MSEvents Object...

[11/05/2006, 9:39:00] - Terminating Process: IEXPLORE.EXE

[11/05/2006, 9:39:00] - Terminating Process: RUNDLL32.EXE

[11/05/2006, 9:39:00] - Disabling Automatic Shell Restart

[11/05/2006, 9:39:00] - Terminating Process: EXPLORER.EXE

[11/05/2006, 9:39:00] - Suspending the NT Session Manager System Service

[11/05/2006, 9:39:00] - Terminating Windows NT Logon/Logoff Manager

[11/05/2006, 9:39:01] - Re-enabling Automatic Shell Restart

[11/05/2006, 9:39:01] - File to disable: C:\WINDOWS\system32\awtqnkh.dll

[11/05/2006, 9:39:01] - Renaming C:\WINDOWS\system32\awtqnkh.dll -> C:\WINDOWS\system32\awtqnkh.dll.vir

[11/05/2006, 9:39:01] - File successfully renamed!

[11/05/2006, 9:39:01] - Removing HKLM\...\Browser Helper Objects\{9A36CEDC-2619-43F0-8108-50A321AD3057}

[11/05/2006, 9:39:01] - Removing HKCR\CLSID\{9A36CEDC-2619-43F0-8108-50A321AD3057}

[11/05/2006, 9:39:01] - Adding Kill Bit for ActiveX for GUID: {9A36CEDC-2619-43F0-8108-50A321AD3057}

[11/05/2006, 9:39:01] - Deleting ATLEvents/MSEvents Registry entries

[11/05/2006, 9:39:01] - Removing HKLM\...\Winlogon\Notify\awtqnkh

[11/05/2006, 9:39:01] - Searching for Browser Helper Objects:

[11/05/2006, 9:39:01] - BHO 1: {A8B28872-3324-4CD2-8AA3-7D555C872D96} (DeskbarBHO)

[11/05/2006, 9:39:01] - Finished Searching Browser Helper Objects

[11/05/2006, 9:39:01] - Finishing up...

[11/05/2006, 9:39:01] - A restart is needed.

[11/05/2006, 9:39:14] - Attempting to Restart via STOP error (Blue Screen!)

 

hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 18:03:25, on 05/11/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

 

Est-ce que cela te paraît clean ?

J'ai nettoyé la BDR avec xoftspy, et j'ai réinstallé kerio (avant que tu me dise de faire ZA), et puis les mises à jour de windows.

Merci mille fois

[Malekal_morte]

Tu peux m'expliquer quelque chose là.

Je te demande d'utiliser vundofix tu arrives avec un rapport VirtumundoBeGone.

 

 

Il manque le rapport AVG Antispyware.

 

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

 

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

[eaumer]

j'ai fait virtumundo, parce que je m'en suis occupée avant d'avoir ta réponse, j'ai fait ce que j'ai pu!

sinon, voila le rapport de panda, et cela ne me semble pas de bons augures. Que dois-je faire ? STP ?

 

 

Incident Status Location

 

Possible Virus. Not disinfected C:\Documents and Settings\Administrateur\Bureau\backups\backup-20061105-021239-578.dll

Possible Virus. Not disinfected C:\Documents and Settings\Administrateur\Bureau\backups\backup-20061105-021338-728.dll

Possible Virus. Not disinfected C:\Documents and Settings\Administrateur\Bureau\backups\backup-20061105-024657-449.dll

Potentially unwanted tool:Application/Pskill.K Not disinfected C:\Documents and Settings\Administrateur\Bureau\clean\pskill.exe

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Administrateur\Bureau\VirtumundoBeGone.exe[²ƒÇ]

Spyware:Cookie/DriveCleaner Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@drivecleaner[1].txt

Spyware:Cookie/DriveCleaner Not disinfected C:\Documents and Settings\Administrateur\Cookies\[email protected][2].txt

Spyware:Cookie/DriveCleaner Not disinfected C:\Documents and Settings\Administrateur\Cookies\[email protected][2].txt

Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt

Adware:Adware/CommAd Not disinfected C:\Documents and Settings\Administrateur\Local Settings\Temp\cmdinst.exe

Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Administrateur\Local Settings\Temp\nsv5.tmp

Adware:Adware/CommAd Not disinfected C:\WINDOWS\Sm9z\mA6W.vbs

Possible Virus. Not disinfected C:\WINDOWS\system32\cbxxuro.dll

Possible Virus. Not disinfected C:\WINDOWS\system32\glsa.exe

Possible Virus. Not disinfected C:\WINDOWS\system32\khfddba.dll

Possible Virus. Not disinfected C:\WINDOWS\system32\khfecca.dll

Possible Virus. Not disinfected C:\WINDOWS\system32\rqrrqpq.dll

Virus:W32/RxBot.CU.worm Disinfected C:\WINDOWS\system32\winamp.exe

Possible Virus. Renamed C:\WINDOWS\system32\?dobe\?xplorer.exe

Adware:Adware/SearchAid Not disinfected C:\WINDOWS\uninstall_nmon.vbs

Virus:Eicar.Mod Not disinfected D:\Kaspersky pro v4.5.0.94 fr All Windows\data1.cab[eicar.html]

Potentially unwanted tool:Application/Pskill.K Not disinfected D:\MOI\midi\clean.zip[clean/pskill.exe]

Potentially unwanted tool:Application/Processor Not disinfected D:\MOI\midi\SmitfraudFix.zip[smitfraudFix/Process.exe]

Possible Virus. Not disinfected D:\MOI\midi\SmitfraudFix.zip[smitfraudFix/swsc.exe]

[Malekal_morte]

Télécharges et installes :

KillBox de Option^Explicit

Aide Killbox

 

sélectionne entièrement la liste ci-dessous :

 

C:\WINDOWS\Sm9z\mA6W.vbs

C:\WINDOWS\system32\cbxxuro.dll

C:\WINDOWS\system32\glsa.exe

C:\WINDOWS\system32\khfddba.dll

C:\WINDOWS\system32\khfecca.dll

C:\WINDOWS\system32\rqrrqpq.dll

C:\WINDOWS\system32\winamp.exe

 

---> et tu fais clic droit / copier

 

Ouvres killbox

- Sélectionne "delete on reboot"

- Clique sur le menu "File" -> "Past from clip board"

- Clique sur All Files

- Clique sur la croix rouge et et blanche

- Répond yes et laisse redémarrer ton pc.

N'hésite pas à consulter l'Aide killbox

 

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!" et que l'ordinateur ne redémarre pas, redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur

 

Supprime le dossier c:\!Killbox

ATTENTION tu dois avoir ce dossier, si tu en l'as pas c'est que tu as mal fait les manipulations ci-dessus.

 

Puis :

 

 

Télécharge ce fichier - combofix.exe

et sauvegarde le sur ton bureau et pas ailleurs!

 

Double-clic sur combofix, Il va te poser une question, réponds yes (touche y) puis attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

 

Copie/colle un nouveau rapport HiJackThis avec.

[eaumer]

merci pour tous ces conseils, ça marche bien maintenant.

Je ne poste pas ce que tu m'as demandé, parce que comme j'ai réinstallé tous les prog de mon ordi après formatage de la partition, il y en a des pages et des pages avec combofix.

Le rapport Hijackthis semble correct à présent A voir...

Encore mille mercis