[Résolu]Divers problèmes de virus

[WawaSeb]

Bonsoir tari,

 

*** Tu fais du super boulot, nous avançons bien !!! ***

 

 

1) Télécharge OTMoveIt de OldTimer. Sauvegarde-le sur ton Bureau.

 

Copie le texte en citation ci-dessous (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

 

C:\WINDOWS\system32\drvduh.dll

C:\WINDOWS\system32\hudvrd.*

C:\WINDOWS\system32\ssqrp.dll

C:\WINDOWS\system32\prqss.*

C:\WINDOWS\system32\winbjv32.dll

C:\WINDOWS\system32\wmpstub.exe

C:\WINDOWS\system32\winbjv32.dll

C:\WINDOWS\system32\23vjbniw.*

C:\WINDOWS\system32\wmpstub.exe

C:\WINDOWS\system32\butspmw.*

C:\windows\system32\drvduh.dll

C:\windows\system32\hudvrd.*

C:\windows\system32\drvduhr.dll

C:\windows\system32\rhudvrd.*

C:\WINDOWS\SYSTEM32\fcccdef.dll

C:\WINDOWS\SYSTEM32\fedcccf.*

C:\WINDOWS\system32\urqrsts.dll

C:\WINDOWS\system32\stsrqru.*

• Double-clique sur OTMoveIt.exe afin de lancer le programme
  
• Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  
• Fais un Clic-droit sur le cadre de gauche puis choisis Coller
  
• Clique à présent sur le bouton "MoveIt!"
  
• Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ (Le nom du rapport est la date de sa création)
  
• Poste ce rapport stp...
  

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\fcccdef.dll (file missing)

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O2 - BHO: (no name) - {EC50846C-08F3-4CDE-A75D-EEA910AB37CB} - C:\WINDOWS\system32\ssqrp.dll

 

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvduh.dll,startup

 

 

# Peux-tu aussi reposter un rapport HijackThis stp ?

# Où en sont tes problèmes ?

 

Bonne nuit à toi !

[tari]

Le PC n'étant plus accessible, je remet ta procédure à demain si tu le veux bien

 

Les rapports devraient être disponible vers 18h30 ainsi que l'historique des problèmes encore présents.

 

Bonne nuit à toi aussi et merci de ton aide

[tari]

Bonjour,

 

Je suis rentré un petit peu plus tot et profite donc pour poster les divers rapports.

 

OTMoveIt

 

File/Folder C:\WINDOWS\system32\drvduh.dll not found.

File/Folder C:\WINDOWS\system32\hudvrd.* not found.

DllUnregisterServer procedure not found in C:\WINDOWS\system32\ssqrp.dll

C:\WINDOWS\system32\ssqrp.dll NOT unregistered.

File move failed. C:\WINDOWS\system32\ssqrp.dll scheduled to be moved on reboot.

File move failed. C:\WINDOWS\system32\prqss.* scheduled to be moved on reboot.

File/Folder C:\WINDOWS\system32\winbjv32.dll not found.

File/Folder C:\WINDOWS\system32\wmpstub.exe not found.

File/Folder C:\WINDOWS\system32\winbjv32.dll not found.

File/Folder C:\WINDOWS\system32\23vjbniw.* not found.

File/Folder C:\WINDOWS\system32\wmpstub.exe not found.

File/Folder C:\WINDOWS\system32\butspmw.* not found.

File/Folder C:\windows\system32\drvduh.dll not found.

File/Folder C:\windows\system32\hudvrd.* not found.

File/Folder C:\windows\system32\drvduhr.dll not found.

File/Folder C:\windows\system32\rhudvrd.* not found.

File/Folder C:\WINDOWS\SYSTEM32\fcccdef.dll not found.

File/Folder C:\WINDOWS\SYSTEM32\fedcccf.* not found.

DllUnregisterServer procedure not found in C:\WINDOWS\system32\urqrsts.dll

C:\WINDOWS\system32\urqrsts.dll NOT unregistered.

C:\WINDOWS\system32\urqrsts.dll moved successfully.

File/Folder C:\WINDOWS\system32\stsrqru.* not found.

 

Created on 09/18/2007 17:06:11

 

Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:12:12, on 18/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

E:\pestpatrol\PPActiveDetection.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2E6D62B2-FD98-4322-99AE-BC983DBECA2E} - C:\WINDOWS\system32\ssqrp.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [eTrustPPAP] "E:\pestpatrol\PPActiveDetection.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 4144 bytes

 

O2 - BHO: (no name) - {2E6D62B2-FD98-4322-99AE-BC983DBECA2E} - C:\WINDOWS\system32\ssqrp.dll

Cette ligne est restée.

 

Pour ce qui est du PC en lui même, il est plus rapide à s'éteindre et n'a pas encore replanté , ensuite, on verra bien avec l'utilisation prolongée... Le message d'erreur dû aux manoeuvres effectuées a désormais disparu mais l'ouverture de pages internet intempestives est toujours présentes.

 

Message bizarre Antivirus au démarrage de Windows.

Image01

 

Scan avant démarrage

 

18/09/2007 18:11

Analyse de tous les lecteurs locaux

Fichier C:\Documents and Settings\EH\Local Settings\Temp\ioxwcdwo.exe est infecté par Win32:Tiny-IF [Trj], Supprimé

Fichier C:\Documents and Settings\EH\Local Settings\Temp\ykhfvskk.exe est infecté par Win32:Tiny-IF [Trj], Supprimé

Fichier C:\Documents and Settings\EH\Local Settings\Temporary Internet Files\Content.IE5\41UB8XMJ\jaun_20070726[1] est infecté par Win32:Vundo-gen49 [Adw], Supprimé

Fichier C:\Documents and Settings\EH\Local Settings\Temporary Internet Files\Content.IE5\ZE1PSKTU\gepj[2] est infecté par Win32:Vundo-gen48 [Adw], Supprimé

Fichier C:\Documents and Settings\EH\Local Settings\Temporary Internet Files\Content.IE5\ZE1PSKTU\lkjh[1] est infecté par Win32:Tiny-IF [Trj], Supprimé

Fichier C:\Program Files\Canon\MP Navigator 2.0\MPNScan.exe est infecté par Win32:Virut, Supprimé

Fichier C:\wffkiclq.exe\[uPX] est infecté par Win32:Agent-JQN [Trj], Supprimé

Fichier C:\WINDOWS\system32\cacqwigy.dll est infecté par Win32:Vundo-gen49 [Adw], Supprimé

Fichier C:\WINDOWS\system32\fsrkpwhr.dll est infecté par Win32:Vundo-gen49 [Adw], Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Mis en quarantaine

Fichier C:\WINDOWS\system32\lhmrxtip.dll est infecté par Win32:Vundo-gen48 [Adw], Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Mis en quarantaine

Fichier C:\WINDOWS\system32\qbjjbhaa.dll est infecté par Win32:Vundo-gen46 [Adw], Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Mis en quarantaine

Fichier C:\WINDOWS\Temp\win11B4.tmp.exe\[uPX] est infecté par Win32:Agent-KHB [Trj], Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Mis en quarantaine

Fichier C:\WINDOWS\Temp\win3B6.tmp.exe\[uPX] est infecté par Win32:Agent-KHB [Trj], Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Mis en quarantaine

Fichier C:\WINDOWS\Temp\win4DF.tmp.exe\[uPX] est infecté par Win32:Agent-KHB [Trj], Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Mis en quarantaine

Fichier C:\WINDOWS\Temp\winB.tmp.exe\[uPX] est infecté par Win32:Agent-KHB [Trj], Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Mis en quarantaine

Fichier C:\WINDOWS\Temp\winEA8.tmp.exe\[uPX] est infecté par Win32:Agent-KHB [Trj], Réparer: Erreur 42060 {Le fichier n'a pas été réparé.}, Mis en quarantaine

 

Nombre de dossiers parcourus : 6044

Nombre de fichiers analysés : 374494

Nombre de fichiers infectés : 16

 

 

Cordialement.

Modifié le 18 septembre 2007 par tari

[WawaSeb]

Bonsoir tari,

 

*** Bravo pour ton courage !!! ***

--> Nous avons décidément affaire à un Vundo TRES résistant !

 

 

1) Télécharge The Avenger par Swandog46 sur ton Bureau

(je t'envoie l'adresse en privé)

 

Clique-droit sur Avenger.zip pour extraire le dossier sur ton bureau

 

 

2) Copie tout le texte écrit en citation (sélectionne-le, puis choisis "Edition" --> "Copier")

 

Registry keys to delete:

HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{2E6D62B2-FD98-4322-99AE-BC983DBECA2E}

 

Files to delete:

C:\WINDOWS\system32\ssqrp.dll

C:\WINDOWS\system32\fsrkpwhr.dll

C:\WINDOWS\system32\lhmrxtip.dll

C:\WINDOWS\system32\qbjjbhaa.dll

C:\WINDOWS\Temp\win11B4.tmp.exe

C:\WINDOWS\Temp\win3B6.tmp.exe

C:\WINDOWS\Temp\win4DF.tmp.exe

C:\WINDOWS\Temp\winB.tmp.exe

C:\WINDOWS\Temp\winEA8.tmp.exe

 

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

 

3) Exécute The Avenger en cliquant l'icône avec la petite épée

• Dans "Script file to execute", choisis "Input Script Manually"
  
• Clique ensuite sur l'icône en forme de loupe (View/edit script)
  
• Dans cette fenêtre, colle le texte que tu viens de copier ("Edition" --> "Coller")
  
• Clique sur Done
  
• Clique alors sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  
• Réponds "Yes" deux fois quand il le demande
  

4) The Avenger va redémarrer ton PC, ouvrir brièvement une fenêtre noire et afficher un rapport (c:\avenger.txt)

-------> Merci de copier ce rapport dans ton prochain message !

 

 

5) Télécharge DSS (ex ComboScan) (de Deckard) sur ton Bureau.

• Ferme toutes les applications en cours
  
• Double-clique sur comboscan.exe pour l'exécuter
  
• A la fenêtre de mise en garde, clique sur OK
  
• A la fin de l'analyse, clique sur OK (cela peut prendre quelques minutes)
  
• Le rapport Comboscan.txt s'affichera, envoie ce rapport dans ta prochaine réponse
  

 

Je te demande de poster ces deux rapports et nous devrions pouvoir terminer la procédure à la prochaine étape...

 

Passe une exxcellente fin de nuit !

[tari]

Bonsoir,

 

Avenger refuse de n'initialiser que ce soit en mode Normal ou Sans Echec.

 

Img02

 

Voici le rapport ComboScan

 

Deckard's System Scanner v20070905.67

Run by EH on 2007-09-19 18:38:44

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

-- System Restore --------------------------------------------------------------

 

System Restore is disabled; attempting to re-enable...success.

 

 

-- Last 1 Restore Point(s) --

1: 2007-09-19 16:38:47 UTC - RP1 - Point de vérification système

 

 

Backed up registry hives.

Performed disk cleanup.

 

 

 

-- HijackThis (run as EH.exe) --------------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:39:55, on 19/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

E:\pestpatrol\PPActiveDetection.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\EH\Bureau\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\EH.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7B182CE4-DF93-45CA-B45A-2CB3DDC93C03} - C:\WINDOWS\system32\ssqrp.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\cacqwigy.dll (file missing)

O4 - HKLM\..\Run: [eTrustPPAP] "E:\pestpatrol\PPActiveDetection.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [systemOptimizer] rundll32.exe "C:\WINDOWS\system32\vkhfmwdc.dll",forkonce

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 4467 bytes

 

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

 

backup-20070918-171151-115 O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvduh.dll,startup

backup-20070918-171151-301 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

backup-20070918-171151-781 O2 - BHO: (no name) - {2E6D62B2-FD98-4322-99AE-BC983DBECA2E} - C:\WINDOWS\system32\ssqrp.dll

backup-20070918-171223-893 O2 - BHO: (no name) - {2E6D62B2-FD98-4322-99AE-BC983DBECA2E} - C:\WINDOWS\system32\ssqrp.dll

backup-20070918-171243-194 O2 - BHO: (no name) - {2E6D62B2-FD98-4322-99AE-BC983DBECA2E} - C:\WINDOWS\system32\ssqrp.dll

backup-20070918-172059-349 O2 - BHO: (no name) - {5E8BB767-B04D-4C42-9794-9BC8462FC628} - C:\WINDOWS\system32\ssqrp.dll

 

-- File Associations -----------------------------------------------------------

 

All associations okay.

 

 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 

R0 BTHidMgr (Bluetooth HID Manager Service) - c:\windows\system32\drivers\bthidmgr.sys <Not Verified; IVT Corporation; BlueSoleil©>

R3 BlueletAudio (Bluetooth Audio Service) - c:\windows\system32\drivers\blueletaudio.sys <Not Verified; IVT Corporation; Windows ® 2000 DDK driver>

R3 BT (Bluetooth PAN Network Adapter) - c:\windows\system32\drivers\btnetdrv.sys <Not Verified; IVT Corporation; BlueSoleil>

R3 Btcsrusb (Bluetooth USB For Bluetooth Service) - c:\windows\system32\drivers\btcusb.sys <Not Verified; IVT Corporation; Bluetooth USB Device Driver>

R3 BTHidEnum (Bluetooth HID Enumerator) - c:\windows\system32\drivers\vbtenum.sys

R3 VComm (Virtual Serial port driver) - c:\windows\system32\drivers\vcomm.sys <Not Verified; IVT Corporation; BlueSoleil>

R3 VcommMgr (Bluetooth VComm Manager Service) - c:\windows\system32\drivers\vcommmgr.sys <Not Verified; IVT Corporation; BlueSoleil>

R3 WinDriver6 - c:\windows\system32\drivers\windrvr6.sys <Not Verified; Jungo; WinDriver Device Driver>

 

S0 VClone - c:\windows\system32\drivers\vclone.sys (file missing)

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)

S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)

S3 ALCXSENS (Service for WDM 3D Audio Driver) - c:\windows\system32\drivers\alcxsens.sys <Not Verified; Sensaura Ltd; >

S3 BTNetFilter (Bluetooth Network Filter) - c:\windows\system32\drivers\btnetfilter.sys

S3 INFUSB - c:\windows\system32\drivers\infusb.sys <Not Verified; WB Electronic; Infinity USB driver>

S3 Pcouffin (Low level access layer for CD devices) - c:\windows\system32\drivers\pcouffin.sys (file missing)

S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)

 

 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 

R2 Diskeeper - "c:\program files\diskeeper corporation\diskeeper\dkservice.exe" <Not Verified; Diskeeper Corporation; Diskeeper Disk Defragmenter>

 

S2 BlueSoleil Hid Service - c:\program files\ivt corporation\bluesoleil\btntservice.exe (file missing)

S3 ServiceLayer - "c:\program files\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>

 

 

-- Device Manager: Disabled ----------------------------------------------------

 

No disabled devices found.

 

 

-- Files created between 2007-08-19 and 2007-09-19 -----------------------------

 

2007-09-19 18:37:52 125504 --a------ C:\WINDOWS\system32\vkhfmwdc.dll

2007-09-19 18:28:37 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau

2007-09-19 18:28:37 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-09-19 18:28:37 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo

2007-09-19 18:28:37 0 d--h----- C:\Documents and Settings\Administrateur\Recent

2007-09-19 18:28:37 524288 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT

2007-09-19 18:28:37 0 d--h----- C:\Documents and Settings\Administrateur\Modèles

2007-09-19 18:28:37 0 d-------- C:\Documents and Settings\Administrateur\Mes documents

2007-09-19 18:28:37 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer

2007-09-19 18:28:37 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings

2007-09-19 18:28:37 0 d-------- C:\Documents and Settings\Administrateur\Favoris

2007-09-19 18:28:37 0 d---s---- C:\Documents and Settings\Administrateur\Cookies

2007-09-19 18:28:37 0 d-------- C:\Documents and Settings\Administrateur\Bureau

2007-09-19 18:28:37 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data

2007-09-19 18:28:37 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft

2007-09-18 17:59:03 0 d-------- C:\Documents and Settings\EH\Application Data\FileZilla

2007-09-18 17:58:42 0 d-------- C:\Program Files\FileZilla Client

2007-09-17 18:40:14 0 d-------- C:\Downloads

2007-09-17 18:40:14 0 d-------- C:\Bases

2007-09-17 18:20:18 0 d-------- C:\Kaspersky

2007-09-16 20:10:42 0 d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-09-16 19:53:32 0 d-------- C:\VundoFix Backups

2007-09-16 17:56:54 0 d-------- C:\Program Files\Trend Micro

2007-09-16 13:19:12 49152 --a------ C:\kcnkirv.exe

2007-09-16 13:19:06 70656 --a------ C:\njda.exe

2007-09-16 08:57:10 873688 ---hs---- C:\WINDOWS\system32\prqss.bak2

2007-09-15 13:25:15 6448 ---hs---- C:\WINDOWS\system32\prqss.bak1

2007-09-15 13:24:10 244832 --a------ C:\WINDOWS\system32\ssqrp.dll

2007-09-11 21:44:49 664 --a------ C:\WINDOWS\desctemp.dat

2007-09-05 19:16:21 0 d-------- C:\Program Files\Fichiers communs\logishrd

2007-08-25 17:15:44 0 d-------- C:\Documents and Settings\EH\Application Data\Ashampoo

2007-08-25 17:15:04 0 d-------- C:\Documents and Settings\All Users\Application Data\ashampoo

2007-08-25 17:14:49 0 d-------- C:\Program Files\Ashampoo

 

 

-- Find3M Report ---------------------------------------------------------------

 

2007-09-18 17:33:11 0 d-------- C:\Program Files\Fichiers communs\Ahead

2007-09-17 19:28:37 0 d-------- C:\Program Files\Documents To Go

2007-09-13 21:55:33 0 d-------- C:\Program Files\Windows Live Safety Center

2007-09-05 19:16:21 0 d-------- C:\Program Files\Fichiers communs

2007-08-31 17:32:12 0 d-------- C:\Documents and Settings\EH\Application Data\Canon

2007-08-25 17:15:33 0 d-------- C:\Documents and Settings\EH\Application Data\Azureus

2007-08-25 15:58:29 0 d-------- C:\Program Files\Azureus

2007-08-25 09:39:28 0 d-------- C:\Program Files\Elaborate Bytes

2007-08-25 09:18:34 40 ---hs---- C:\Documents and Settings\EH\Application Data\.zreglib

2007-08-24 21:44:46 0 d-------- C:\Program Files\DVR-Studio Pro

2007-08-16 08:56:47 0 d-------- C:\Program Files\Mozilla Thunderbird

2007-08-14 11:31:19 0 d-------- C:\Program Files\MKFv4.1

2007-08-14 11:24:22 117248 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic for Windows>

2007-07-30 19:19:16 53080 --a------ C:\WINDOWS\system32\wuauclt.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>

2007-07-29 20:29:46 0 d-------- C:\Program Files\Palm

2007-07-29 20:14:04 0 d-------- C:\Program Files\Fichiers communs\DataViz

2007-07-11 20:41:44 34308 --a------ C:\WINDOWS\system32\Chip.dll

2007-07-05 14:27:53 64144 --a------ C:\WINDOWS\War3Unin.dat

2007-06-26 16:52:45 2829 --a------ C:\WINDOWS\War3Unin.pif

2007-06-26 16:52:45 151552 --a------ C:\WINDOWS\War3Unin.exe <Not Verified; Blizzard Entertainment; Warcraft III Uninstaller>

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

 

-- End of Deckard's System Scanner: finished at 2007-09-19 18:40:30 ------------

 

Que faisons-nous au sujet de Avenger ? (il se lance sur mon PC perso, ce n'est donc pas un problème de celui-ci mais un propre à l'autre ordinateur)

Modifié le 19 septembre 2007 par tari

[WawaSeb]

Bonsoir tari,

 

*** J'ai de très mauvaises nouvelles pour toi... ***

 

Après consultations de plusieurs experts, il s'avère que tu es malheureusement victime d'un "file infector", une crasse qui infecte rapidement tous tes exécutables...

Cela n'est pas réparable !

 

# Compte-tenu de tout ce que tu viens de me décrire, je ne vois d'autre solution que le formatage après avoir sauvé tes données au préalable...

*** Il est nécessaire que tu formates le disque E également ! ***

 

# Après le formatage, il ne restera plus d'infection (si tu ré-installes un Windows OFFICIEL)

 

 

Pense à bien sauvegarder tes données :

• Messages, carnet d'adresse et configuration de ta messagerie (si pas en ligne)
  
• Données personnelles et professionnelles (bien sûr...)
  
• Les programmes téléchargés --> NE TOUCHE PLUS A AUCUN FICHIER ILLEGAL, tu risques de te ré-infecter !!!
  
• Les favoris Internet Explorer / FireFox éventuels
  
• Le dossier "Mes Documents" --> Aucun fichier .exe ni .scr !!!
   
  
• Les sauvegardes de programmes / jeux / ...
  
• Les drivers (pilotes) si tu ne les as pas sur disque
  
• Ce qui pourrait se trouver sur d'autres comptes utilisteurs
  
• ...
  

Bon courage, n'hésite pas si tu as d'autres questions...

 

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

# Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
3. Evite les sites douteux, illégaux, pornographiques, ...
   
4. Méfie-toi des programmes gratuits (financés par...)
   
5. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
6. Garde un Antivirus à jour !
   
7. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
8. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

Je suis vraiment navré pour toi... mais je te souhaite malgré tout une bonne soirée !

 

Edit : précision pour le dossier "Mes Documents" --> Merci Kim

Modifié le 19 septembre 2007 par WawaSeb

[tari]

Il n'y a aucun problème , le problème n'est pas le formatage mais plutot l'unité logique de sauvegarde des données Plus que 70 Go de libre pour environ 180 Go de données à sauvegarder Je vais faire un très gros tri de ses applications inutiles.

 

Pour ce qui est des informations, je lui ferai lire le contenu. Et pour ce qui est de ton travail, c'est dommage pour le temps que tu m'as accordé pour tenter de résoudre ce problème.

 

Par contre j'ai une petite remarque, selon moi, le PC était infecté depuis plusieurs mois déjà

 

Pour ce qui est des questions, je dirai, avez-vous besoin d'une dll particulière pour analyse du code avant le formatage ou n'y a t-il pas d'interet particulier à porter à celles citées précedemment ?

 

Sur ce, je te souhaite également de passer une bonne soirée et retourne à l'apprentissage du C++ et du PhP

 

A bientot peut-etre pour une nouvelle aventure (la grand-mere par exemple ^^ on sait jamais ce qu'il peut arriver avec les utilisateurs non-expérimentés)

 

PS : Merci pour le travail fournit malgré le résultat

[WawaSeb]

Bonsoir tari,

 

*** Je te remercie d'avoir envoyé les fichiers ! ***

--> C'est grâce à ce type d'initiatives que nous pouvons créer des outils plus efficaces et venir en aide...

 

avez-vous besoin d'une dll particulière pour analyse du code avant le formatage ou n'y a t-il pas d'interet particulier à porter à celles citées précedemment ?

--> Encore une fois, c'est très gentil de ta part... mais l'équipe de chercheurs n'a demandé que les fichiers que tu m'as envoyés.

 

En ce qui concerne ta machine, il faut vraiment suivre toutes les recommandations pour éviter de revivre ce genre de situation !

Passe une excellente nuit !