problème avec trojan.virtumod.bl

[Gaecubano]

Bonjour,

 

J'ai été infecté par ce trojan. Les analyses spybot, ad-aware, ccleaner, hijackthis, bitdefender et avg n'y font rien même en mode sans échec. Que faire ? je vous poste un log hijackthis, la ligne infecté est la

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - G:\WINDOWS\system32\ssqpmli.dll

 

 

est-ce que c'est la seule ?? bitdefender me met que la désinfection de fichier infecté par ce trojan est impossible.

 

Logfile of HijackThis v1.99.1

Scan saved at 15:20:18, on 26/11/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\System32\CTsvcCDA.EXE

G:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

G:\WINDOWS\Explorer.EXE

G:\WINDOWS\System32\nvsvc32.exe

G:\WINDOWS\System32\svchost.exe

G:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

G:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

G:\Program Files\ULI5289\ALi5289.exe

G:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

G:\WINDOWS\SOUNDMAN.EXE

F:\Program Files\HP\HP Software Update\HPWuSchd2.exe

G:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

G:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

G:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

G:\Program Files\Common Files\{B4408786-09D7-2060-0426-060822050020}\Update.exe

F:\program files\viamichelin\WCESCOMM.EXE

F:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

G:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

F:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

G:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe

G:\Program Files\Mozilla Firefox\firefox.exe

G:\WINDOWS\system32\NOTEPAD.EXE

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - (no file)

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - G:\WINDOWS\system32\ssqpmli.dll

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - (no file)

O2 - BHO: (no name) - {FD3A573F-BE62-4B13-92A9-15128DCEBC1E} - G:\WINDOWS\System32\pmnnn.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ALi5289] G:\Program Files\ULI5289\ALi5289.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "G:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [A64Tweaker] "G:\Documents and Settings\Famille Bouteiller\Desktop\Overclocking\pc\\a64tweaker.exe" G:\Documents and Settings\Famille Bouteiller\Desktop\Overclocking\pc\\startup.a64

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] F:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre1.5.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [bDMCon] G:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] G:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\program files\viamichelin\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Creative Detector] F:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = G:\Program Files\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\program files\viamichelin\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\program files\viamichelin\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\program files\viamichelin\inetrepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{444327DD-2687-4863-9D14-1A693F965096}: NameServer = 195.238.2.22 195.238.2.21

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC7BA532-99BF-4A0B-9B80-0229F6632EEB}: NameServer = 192.168.0.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{444327DD-2687-4863-9D14-1A693F965096}: NameServer = 195.238.2.22 195.238.2.21

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "G:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: Applets - G:\WINDOWS\system32\lv6809jue.dll (file missing)

O20 - Winlogon Notify: NetCache - G:\WINDOWS\system32\enn6l15s1.dll (file missing)

O20 - Winlogon Notify: pmnnn - G:\WINDOWS\System32\pmnnn.dll

O20 - Winlogon Notify: ssqpmli - G:\WINDOWS\SYSTEM32\ssqpmli.dll

O20 - Winlogon Notify: winaiq32 - winaiq32.dll (file missing)

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - G:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - G:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - G:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - G:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Microsoft Windows Man Service (Windows Man Service) - Unknown owner - G:\WINDOWS\winmgr.exe (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - G:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

 

 

 

 

VOICI AUSSI LE DERNIER LOG DE BIT DEFENDER :

 

 

 

 

 

 

//-----------------------------------------------------------------

//

// Fichier journal BitDefender

//

// Créé le: 26/11/2006 14:51:47

//

//-----------------------------------------------------------------

 

 

Statistiques

 

Chemin cible: G:\

Dossiers : 2641

Fichiers : 196101

Archives : 972

Fichiers empaquetés : 22713

Virus trouvés : 3

Fichiers infectés : 13

Alertes : 0

Fichiers suspects : 1

Fichiers désinfectés : 0

Fichiers effacés : 0

Fichiers copiés : 0

Fichiers déplacés : 5

Fichiers renommés : 0

Erreurs I/O : 35

Temps d'analyse := 00:18:44

Fichiers/seconde :174

 

Définitions virus : 319070

Plugins d'analyse : 14

Plugins archives : 38

Plug-ins décompression : 6

Plug-ins messagerie : 6

Plug-ins système : 1

 

Options d'analyse

 

Détection

[X] Analyser le secteur de boot

[X] Analyser les archives

[X] Analyser les fichiers en paquets

[X] Analyser la messagerie

 

Masque fichiers

[ ] Programmes

[X] Tous les fichiers

[ ] Extensions définies par l'utilisateur:

[ ] Exclure les extensions: ;

 

Action

 

Objets infectés

[ ] Ignorer

[X] Désinfecter

[ ] Effacer

[ ] Copier

[ ] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

 

Seconde action

[ ] Ignorer

[ ] Effacer

[ ] Copier

[X] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

 

Options d'analyse

[X] Activer les alertes

[X] Activer l'heuristique

[ ] Afficher tous les fichiers dans le journal

[X] Fichier journal : vscan.log

[X] Rajouter au rapport existant

 

Sommaire :

 

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-142835-897.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-142835-897.dll Désinfection impossible

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-142835-897.dll Déplacé

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-142902-316.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-142902-316.dll Désinfection impossible

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-142902-316.dll Déplacé

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-143306-882.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-143306-882.dll Désinfection impossible

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-143306-882.dll Déplacé

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-143322-680.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-143322-680.dll Désinfection impossible

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-143322-680.dll Déplacé

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-144529-824.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-144529-824.dll Désinfection impossible

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\backups\backup-20061126-144529-824.dll Déplacé

G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K12VO9UN\pro[1].exe=>(RAR Sfx o)=>dreve.exe Suspects avec BehavesLike:Trojan.Downloader

G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K12VO9UN\pro[1].exe=>(RAR Sfx o)=>dreve.exe Désinfection impossible

G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K12VO9UN\pro[1].exe=>(RAR Sfx o)=>dreve.exe Déplacement impossible

G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K12VO9UN\pro[1].exe=>(RAR Sfx o)=>rasmed.exe Infectés avec MemScan:Trojan.Vundo.K

G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K12VO9UN\pro[1].exe=>(RAR Sfx o)=>rasmed.exe Désinfection impossible

G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\K12VO9UN\pro[1].exe=>(RAR Sfx o)=>rasmed.exe Déplacement impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-142835-897.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-142835-897.dll Désinfection impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-142835-897.dll Déplacement impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-142902-316.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-142902-316.dll Désinfection impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-142902-316.dll Déplacement impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-143306-882.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-143306-882.dll Désinfection impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-143306-882.dll Déplacement impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-143322-680.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-143322-680.dll Désinfection impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-143322-680.dll Déplacement impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-144529-824.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-144529-824.dll Désinfection impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\backup-20061126-144529-824.dll Déplacement impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\iabqulxj.dll Infectés avec Backdoor.Pcclient.CC

G:\Program Files\Softwin\BitDefender Free Edition\Infected\iabqulxj.dll Désinfection impossible

G:\Program Files\Softwin\BitDefender Free Edition\Infected\iabqulxj.dll Déplacement impossible

G:\WINDOWS\system32\ssqpmli.dll Infectés avec MemScan:Trojan.Virtumod.BL

G:\WINDOWS\system32\ssqpmli.dll Désinfection impossible

G:\WINDOWS\system32\ssqpmli.dll Déplacement impossible

Fichiers analysés

 

 

 

 

 

Merci d'avance pour votre aide,

 

Gaëtan

Modifié le 26 novembre 2006 par Gaecubano

[Invité Laurent_62]

Bonjour Gaecubano,

La ligne citée n'est malheureusement pas la seule à poser problème

 

dans un premier temps :

 

- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4

Si ce lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml

* Double-clique VundoFix.exe pour le lancer.

* Clique sur le bouton Scan for Vundo.

* Lorsque le scan est complété, clique sur le bouton Remove Vundo.

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

--le Bureau disparaîtra un moment lors de la suppression des fichiers.

* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK

* Démarre ton ordinateur

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

 

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

 

Une fois cela effectué post ce rapport vundofix ainsi qu'un nouveau log Hijackthis afin de terminer le nettoyage.

 

a+

[Gaecubano]

Bonjour Gaecubano,

La ligne citée n'est malheureusement pas la seule à poser problème

 

dans un premier temps :

 

- Télécharge Vundofix ( Atribune) http://www.atribune.org/ccount/click.php?id=4

Si ce lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml

* Double-clique VundoFix.exe pour le lancer.

* Clique sur le bouton Scan for Vundo.

* Lorsque le scan est complété, clique sur le bouton Remove Vundo.

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

--le Bureau disparaîtra un moment lors de la suppression des fichiers.

* Tu verras une invite qui t'annonce que ton PC va s'éteindre "shutdown" ; clique OK

* Démarre ton ordinateur

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

 

--Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo"

 

Une fois cela effectué post ce rapport vundofix ainsi qu'un nouveau log Hijackthis afin de terminer le nettoyage.

 

a+

 

bonjour,

 

j'ai scanné avec vundofix et enlevé tout ce qu'il avait trouvé:

 

 

VundoFix V6.2.11

 

Checking Java version...

 

Java version is 1.5.0.3

 

Scan started at 15:42:40 26/11/2006

 

Listing files found while scanning....

 

G:\WINDOWS\System32\nnnmp.ini

G:\WINDOWS\System32\nnnmp.bak1

G:\WINDOWS\System32\nnnmp.bak2

G:\WINDOWS\System32\nnnmp.ini2

 

Beginning removal...

 

Attempting to delete G:\WINDOWS\System32\pmnnn.dll

G:\WINDOWS\System32\pmnnn.dll Could not be deleted.

 

Attempting to delete G:\WINDOWS\System32\nnnmp.ini

G:\WINDOWS\System32\nnnmp.ini Has been deleted!

 

Attempting to delete G:\WINDOWS\System32\nnnmp.bak1

G:\WINDOWS\System32\nnnmp.bak1 Has been deleted!

 

Attempting to delete G:\WINDOWS\System32\nnnmp.bak2

G:\WINDOWS\System32\nnnmp.bak2 Has been deleted!

 

Attempting to delete G:\WINDOWS\System32\nnnmp.ini2

G:\WINDOWS\System32\nnnmp.ini2 Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete G:\WINDOWS\System32\pmnnn.dll

G:\WINDOWS\System32\pmnnn.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.2.11

 

Checking Java version...

 

Java version is 1.5.0.3

 

Scan started at 15:49:16 26/11/2006

 

Listing files found while scanning....

 

No infected files were found.

 

 

 

 

 

 

 

NOUVEAU RAPPORT DE HIJACKTHIS, j'ai enlevé quelques lignes après avoir lu "comment utiliser HijackThis":

seulement, il reste 3 ligne que je ne peux enlever:

 

Logfile of HijackThis v1.99.1

Scan saved at 16:27:17, on 26/11/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\Explorer.EXE

G:\WINDOWS\System32\CTsvcCDA.EXE

G:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

G:\Program Files\ULI5289\ALi5289.exe

G:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

G:\WINDOWS\SOUNDMAN.EXE

F:\Program Files\HP\HP Software Update\HPWuSchd2.exe

G:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

G:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

G:\WINDOWS\System32\nvsvc32.exe

G:\Program Files\Common Files\{B4408786-09D7-2060-0426-060822050020}\Update.exe

G:\WINDOWS\System32\svchost.exe

G:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

F:\program files\viamichelin\WCESCOMM.EXE

F:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

G:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

G:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

F:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

G:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

G:\Program Files\Mozilla Firefox\firefox.exe

G:\WINDOWS\system32\NOTEPAD.EXE

G:\WINDOWS\system32\NOTEPAD.EXE

G:\Documents and Settings\Famille Bouteiller\Desktop\antispamvirus\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - (no file) --> est-elle mauvaise ??

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - G:\WINDOWS\system32\ssqpmli.dll

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - (no file)

O2 - BHO: (no name) - {FD3A573F-BE62-4B13-92A9-15128DCEBC1E} - G:\WINDOWS\System32\pmnnn.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ALi5289] G:\Program Files\ULI5289\ALi5289.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "G:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [A64Tweaker] "G:\Documents and Settings\Famille Bouteiller\Desktop\Overclocking\pc\\a64tweaker.exe" G:\Documents and Settings\Famille Bouteiller\Desktop\Overclocking\pc\\startup.a64

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HP Software Update] F:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre1.5.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [bDMCon] G:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDNewsAgent] G:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\program files\viamichelin\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Creative Detector] F:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = G:\Program Files\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC7BA532-99BF-4A0B-9B80-0229F6632EEB}: NameServer = 192.168.0.1

O20 - Winlogon Notify: ssqpmli - G:\WINDOWS\SYSTEM32\ssqpmli.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - G:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - G:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - G:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - G:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Microsoft Windows Man Service (Windows Man Service) - Unknown owner - G:\WINDOWS\winmgr.exe (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - G:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

 

 

 

Merci d'avance,

[Invité Laurent_62]

Re,

 

Aux vues de ce log est des anomalies constatées

- Systeme non à jour

- Java non à jour,

- Rbot

- Vundo

Il me semble qu'un checkup complet s'impose voici donc la raison des manipulations qui vont suivre à commencer par traiter Vundo

 

=> Lance VundoFix.exe

/!\ NE clique PAS sur le bouton Scan for Vundo /!\

 

* Clique Droit dans la fenêtre blanche, chosis Add more files ?

* Rajoute dans la première ligne :

G:\WINDOWS\system32\ssqpmli.dll

* Clique successivement sur :

-- Add Files

-- Close Windows

-- Remove Vundo

* Si l'outil te demande de redémarrer, accepte.

* Copie/Colle ensuite le rapport C:\vundofix.txt

 

 

 

=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1

-- Met le sur ton bureau

Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec

 

 

=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html

note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.

- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php

 

 

=> Télécharge AVG AntiSpyware .

http://www.ewido.net/en/download/

-- Installe le

* Lance AVG AntiSpyware

-- menu Mises à jour

---- Clique sur le bouton Commencer la mise à jour

-- menu analyse onglet paramètres

---- dans la catégorie Rapports coche les cases

[X] Générer un rapport après chaque analyse

[X] Uniquement en cas de menace

---- Dans la catégorie Comment réagir ? sélectionne Quarantaine

* Quitte AVG anti-spyware

 

Note :

AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.

- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html

 

 

=> Redémarre ton PC en mode sans échec

-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.

 

- Au démarrage de l'ordinateur "tapote" la touche F8 de ton clavier jusqu'à ce que les options de démarrage apparaissent.

* A l'aide des touches de ton clavier descend jusque Mode sans échec puis valide par la touche [entrée]

-- Si le choix est proposé choisis le même nom d'utilisateur qu'en mode normal.

 

Note :

-- Windows démarrera avec le strict minimum nécessaire. Tu ne pourras pas te connecter ou utiliser certaines fonctions ou programmes.

-- L'affichage sera inhabituel avec par exemple des icônes plus grandes.

 

 

=> Lance Hijackthis

-- Clique sur Do a system scan only

---- Coche les cases correspondant à ces lignes

 

O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - (no file)

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - G:\WINDOWS\system32\ssqpmli.dll

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - (no file)

O2 - BHO: (no name) - {FD3A573F-BE62-4B13-92A9-15128DCEBC1E} - G:\WINDOWS\System32\pmnnn.dll (file missing)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O20 - Winlogon Notify: ssqpmli - G:\WINDOWS\SYSTEM32\ssqpmli.dll

O23 - Service: Microsoft Windows Man Service (Windows Man Service) - Unknown owner - G:\WINDOWS\winmgr.exe

 

---- Clique sur Fix cheked

-- Quitte Hijackthis

 

 

=> Autorise l'affichage des fichiers et dossiers cachés

 

* Clique sur Démarrer >>> Panneau de configuration

* Dans le menu en haut clique sur Outils choisis Option des dossiers

* Sélectionne l'onglet Affichage

-- [X] Coche Afficher les Fichiers et dossiers cachés

-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation

-- [ ] Décoche Masquer les extensions dont le type est connu

* clique succesivement sur

-- En haut Appliquer à tous les dossiers

-- En bas Appliquer et Ok pour valider les changements

* Ferme la fenêtre

 

 

=> Recherche et supprime ce fichiers

G:\WINDOWS\winmgr.exe

 

 

=> Lance ATF-Cleaner :

* Sous l'onglet Main, choisis : Select All

* Clique sur le bouton Empty Selected

 

 

* Sous l'onglet Firefox (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

 

* Sous l'onglet Opéra (si présent) : Clique sur select all

-- Au message "are you sure you want to delete your firefox saved password" clique sur NON

-- Clique sur Empty selected

* Quitte ATF-Cleaner

 

 

=> Lance jv16-powertools

* Clique à gauche sur Preferences ensuite sur Language choisis French(français) clique sur Ok et Ok

* Clique sur Outil registre en haut sur Outils - Nettoyeur de registre

* Clique sur Continuer et Démarrer

* Le scan fini clique en haut sur Sélectionner >>> Sélection spéciale et Eléments qui peuvent être supprimés sans riques

* Clique en bas sur Supprimer puis Fermer

* quitte Jv16

 

 

=> Lance AVG AntiSpyware

* Menu analyse

-- Onglet Analyser

* clique sur analyse complète du système pour lancer le scan

* Le scan fini clique sur Appliquer toutes les actions

-- Clique sur Enregistrer le rapport >>> Enregistrer le rapport sous enregistre ce rapport sur ton bureau

* Fais un copier coller du contenu de ce rapport dans ta prochaine réponse

 

 

=> Redémarre en mode normal

 

 

=> Fais un scan en ligne avec Internet explorer

* Rend toi sur ce site http://www.pandasoftware.fr/Activescan/Activescan.html

-- Clique sur l'image Analyser votre PC

-- Complète ou rempli les champs demandés (province et E-mail)

-- Clique sur l'image analyser gratuitement maintenant pour continuer

note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.

-- L'installation et la mise à jour de la base antivirale se feront automatiquement.

* choisis Poste de travail pour lancer le scan

* Une fois le scan terminé sauvegarde le rapport Clique sur consulter le rapport (en haut) puis sur le bouton sauvegarder le rapport

-- Pour le retrouver facilement met le sur le bureau

* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

 

Note :

- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809

- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. je te conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)

- Si besoin tu trouveras un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

=> Résultat

- Post les différents rapports obtenus

-- Vundofix

-- Panda online

-- AVG Anti-spyware

-- Un nouveau log Hijackthis (fait en mode normal)

-- Toutes questions, remarques, complément d'information et si une amélioration est constatée.

 

Bon courage @ bientôt