Infection virus-rapport Hijackthis à analyser

[machaaa]

Salut!

 

Mon pc à signalé un virus, et depuis que j'ai installé Antivir, il en détecte plein d'autres (j'avais avast avant)

J'ai suivi la procédure anti-virus postée sur ce forum et voici le résultat de Hijackthis:

Merci pour votre aide!!!

 

macha

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:22:31, on 28/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\stsystra.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\Icons\SetIcon.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Last.fm\LastFMHelper.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default....;l=fr&s=gen

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default....;l=fr&s=gen

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default....;l=fr&s=gen

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {A051B1FF-8D7E-418B-AABE-4FF82F4280A2} - C:\WINDOWS\system32\khfdbya.dll

O2 - BHO: (no name) - {A066A570-6FD6-4B1D-A65D-0AE61E5F8D46} - C:\Program Files\MSN Gaming Zone\horevocC:\WINDOWS\system32\uwcee9\renamd83122.exe.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AME_CSA] rundll32 csa.cpl,RUN_DLL

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [setIcon] C:\Program Files\Icons\SetIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DMX] C:\Program Files\Dell\Media Experience\DMX.exe -sys

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Dot1XCfg] C:\Program Files\Dot1XCfg\Dot1XCfg.exe

O4 - HKCU\..\Run: [Router] C:\Program Files\Router\Router.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: khfdbya - C:\WINDOWS\SYSTEM32\khfdbya.dll

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

 

--

End of file - 7674 bytes

[Zonk]

Bienvenue sur le forum !!

 

Ce que je te recommande est un minimum demandé par l' "Équipe Sécurité" ...et prend le temps de tout lire avant de commencer . Ça te donnera une idée des étapes (facile ) et des procédures à faire .....et en ayant une idée claire ça te sauvera ,peut être ,de possible dédoublements de manipulations .

Je suis un peu désolé de te faire reprendre sensiblement les même procédures...mais ca va peut être parfaire le nettoyage en attendant l'Équipe Sécurité .....bon courage

 

 

Suppression des fichiers temporaires

Télécharge ATF Cleaner par Atribune (gratuit)

ATF

 

Double-clique ATF-Cleaner.exe afin de lancer le programme

Petit programme gratuit ne necessitant pas d'installation ,sans danger. Parfois avec les ordis moins performants le nettoyage est lourd ,alors y aller deux cases à la fois. (si tes cookies te sont précieux ,exclu les)

 

Sous l'onglet Main, choisis : Select All (ou deux cases à la fois....mais fait toutes les cases )

 

Si tu utilises le navigateur Firefox :

1. Clique Firefox au haut et choisis : Select All
   
2. Clique le bouton Empty Selected
   

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

 

Si tu utilises le navigateur Opera :

1. Clique Opera au haut et choisis : Select All
   
2. Clique le bouton Empty Selected
   

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Tutoriel Antivir

 

.....surveille à bien activer la recherche de " rootkits" et "scan master boot sector" (ces fonctions sont souvent oubliées par les gens).....

Cherche à activer le mode "Expert" et à optimiser la recherche des menaces...

(et personnellement dans l'onglet "scanner" j'active tout les items dans "Rootkit search" et "manual selection" )

Aide en image message #184

Aide en image message #113

Enlève les cd ou dvd qui peuvent être dans les lecteurs car ils seront analysés inutilement lors de vérifications

 

 

AVG Antispyware

Si parfois tu aurais un antispyware en temps réel qui m'aurait échapper alors avise nous avant d'installer AVG Antispyware

AVG Antispyware

Tu auras un choix de langues.

 

Tutoriel AVG Antispyware

En version d'essai , la protection en temps réel (bouclier)sera périmée après 30 jours.......alors sans la licence le programme sera encore utile comme "scanner" (normalement encore possibilité de faire les mises à jour)

 

Le Pré-Nettoyage de Megataupe

 

Pré-Nettoyage

Imprime le texte car en mode sans échec tu ne pourra avoir accès au net (tu auras les infos pour y aller dans le lien du pré-nettoyage). Parfois démarrer/fermer est plus long en mode sans échec...soit patient. L'affichage sera altéré...c'est normal....ca reviendra normal suite à un redémarrage .

 

Profite du mode sans échec pour passer tout tes logiciels de nettoyage en ce mode (AVG Antipsyware et cie)...

On parle de supprimer Antivir suite à ce nettoyage ,alors prenant pour acquis qu'il est ton antvirus ,tu oublies la suppression de celui-ci ......

 

Souvent le pré-nettoyage n'est pas suffisant pour tout supprimer...mais ça peut arriver que ça règle les ennuis...alors ça prendra tous tes rapports et ensuite l'Équipe Sécurité te guidera pour parfaire le travail....ou te confirmer que tout est sain

 

Vérification des logiciels non sécuritaires

 

Quand tu auras quelques minutes:

Secunia Software Inspector

Ce test ne nécessite aucune installation de logiciel

• Va à "Start Now"
  
• Tu devras accepter l'analyse (sans obligation de cocher la petite case "Toujours faire confiance au contenu....." ) et ensuite tu fais "Exécuter"
  

• Ensuite tu dois aller à "Start"
  
• active la petite case à :
  

Enable thorough system inspection.

Enable the Secunia Software Inspector to search for software installed in non-default locations.

....et suit les recommandations....

 

@+

Modifié le 28 janvier 2008 par Zonk

[machaaa]

waaaw!

 

super sympa, merci!

 

bon, je fais tout ça et j'espère que s'en sera fini de ces vilains virus.

 

comme protection, dois-je installer autre chose qu'antivir et avg anti-spyware?

 

merci merci merci merci!!!!

Modifié le 29 janvier 2008 par machaaa

[Zonk]

Pour ce qui est des logiciels, Antivir + AVG Antispyware (idéalement en achetant la licence) + un pare-feu ...pas plus ..pas moins.......comme le disent les anglais "Less is more".....Pour les gens moins à l'aise avec l'informatique je suggère comme minimum le pare-feu de Windows + un routeur avec pare-feu bien configuré.........un routeur avec pare-feu + un pare-feu logiciel performant est un "must"....

mais mieux vaut un pare-feu rudimentaire comme celui de XP bien configuré qu'un pare-feu performant mal configuré ou configuré à l'aveuglette.....en informatique,dans mon livre à moi, l'"aveuglette" n'est pas permis......

@+

[oGu]

Yo!!!

 

Tu es infecté (entre autres...) par Vundo, un adware dont la fonction est d'afficher des fenêtres publicitaires intempestives en faisant souvent la promotion de logiciels douteux . Il utilise diverses techniques pour tenter d'empêcher sa désinstallation.

 

Cet adware se présente sous la forme d'un fichier téléchargé sur un site douteux ou installé automatiquement lors de la visite de certains sites web douteux.

Attention aux sites que tu visites !!!!

 

 

Après avoir terminé les quelques conseils de Zonk, suis cette procédure:

• Télécharge VundoFix.exe (par Atribune) et enregistre-le sur ton bureau.
   
  http://www.atribune.org/content/view/24/2/
  
• Redémarre en mode sans échec (tapote la touche F8 au démarage de ton ordinateur) si tu le peux, sinon poursuis la procédure en mode normal.
  
• Double-clique VundoFix.exe afin de le lancer.
  
• Coche "Run VundoFix as a task".
  
• Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique "Ok"
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  
• Démarre ton PC à nouveau, en mode normal.
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt
  
• Rend-toi dans le dossier d'installation de HijackThis: C:\Program Files\Trend Micro\HijackThis\
  
  
• Clic-droit sur HijackThis.exe (il se peut que le .exe n'apparaisse pas) et renomme-le en zebulon.exe (ou zebulon tout court si le .exe n'apparait pas)
  
• Double-clic sur Scanner puis sélectionne "do a scan and save a logfile"
  
• Poste le rapport.
  

Modifié le 2 février 2008 par ogu

[machaaa]

hello!

 

j'ai fais tout ce que vous m'avez conseillé, sauf avg anti-spiware, que je ferais si ça peut me sauver.

j'ai bien sûr encore des détections de A0026519.exe A0026520.exe A0026521.exe dans le C\system volume information (il se renome ou quoi?)

je les ai mis en quarantaine, de quoi s'agit-il?

je ne suis pas trop le genre à aller sur des sites douteux, donc je me demande bien d'où ça vient...

 

Encore merci pour votre aide!!!

 

macha

 

voici le rapport de VundoFix:

 

 

VundoFix V6.7.7

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Scan started at 11:26:48 31/01/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\AudFile.dll

C:\WINDOWS\system32\khfdbya.dll

C:\WINDOWS\system32\miktokev.dll

C:\WINDOWS\system32\nmyjpfbp.exe

C:\WINDOWS\system32\qpqss.ini

C:\WINDOWS\system32\qpqss.ini2

C:\WINDOWS\system32\ssqpq.dll

C:\WINDOWS\system32\WMAFile.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\AudFile.dll

C:\WINDOWS\system32\AudFile.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\khfdbya.dll

C:\WINDOWS\system32\khfdbya.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\miktokev.dll

C:\WINDOWS\system32\miktokev.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\nmyjpfbp.exe

C:\WINDOWS\system32\nmyjpfbp.exe Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\qpqss.ini

C:\WINDOWS\system32\qpqss.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\qpqss.ini2

C:\WINDOWS\system32\qpqss.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ssqpq.dll

C:\WINDOWS\system32\ssqpq.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\WMAFile.dll

C:\WINDOWS\system32\WMAFile.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.7.7

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Scan started at 12:02:58 31/01/2008

 

Listing files found while scanning....

 

 

Et de HijackThis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:47:44, on 2/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\stsystra.exe

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINDOWS\system32\NotifyPhoneBook.exe

C:\Program Files\Icons\SetIcon.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Last.fm\LastFMHelper.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\zebulon.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default....;l=fr&s=gen

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default....;l=fr&s=gen

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/default....;l=fr&s=gen

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: {9ff60fe4-6a9b-03a9-5c24-be579dd4b2f3} - {3f2b4dd9-75eb-42c5-9a30-b9a64ef06ff9} - C:\WINDOWS\system32\miktokev.dll (file missing)

O2 - BHO: (no name) - {A051B1FF-8D7E-418B-AABE-4FF82F4280A2} - C:\WINDOWS\system32\khfdbya.dll

O2 - BHO: (no name) - {A066A570-6FD6-4B1D-A65D-0AE61E5F8D46} - C:\Program Files\MSN Gaming Zone\horevocC:\WINDOWS\system32\uwcee9\renamd83122.exe.dll (file missing)

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {D422CDBE-2D38-45A7-B283-8FF3E278F87D} - C:\WINDOWS\system32\ssqpq.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [AME_CSA] rundll32 csa.cpl,RUN_DLL

O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [setIcon] C:\Program Files\Icons\SetIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [DMX] C:\Program Files\Dell\Media Experience\DMX.exe -sys

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Dot1XCfg] C:\Program Files\Dot1XCfg\Dot1XCfg.exe

O4 - HKCU\..\Run: [Router] C:\Program Files\Router\Router.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: khfdbya - C:\WINDOWS\SYSTEM32\khfdbya.dll

O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\nmyjpfbp.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

 

--

End of file - 8224 bytes

[oGu]

Salut!

 

Tu es très infecté (infectéE ?), donc c'est normal que tout ne soit pas rétabli avec un coup d'Antivir et de Vundofix !

 

 

j'ai bien sûr encore des détections de A0026519.exe A0026520.exe A0026521.exe dans le C\system volume information (il se renome ou quoi?)

je les ai mis en quarantaine, de quoi s'agit-il?

 

Il s'agit de la restauration système de ton PC; les restaurations qu'il stocke sont infectées, et aucun antivirus n'y peut quoi que ce soit. Mais ce n'est pas méchant, on y reviendra en toute fin de procédure.

 

Poursuivons.

 

===/// MISE A JOUR DE LA CONSOLE JAVA ///===

• Va dans le menu "Démarrer"
  
• Sélectionne le "Panneau de configuration"
  
• Clique sur l'icone "JAVA"
  
• L'interface de la machine Java s'ouvre: sélectionne l'onglet "Mise à jour"
  
• Clique en bas sur "Mettre à jour maintenant"
  

 

===/// VIRTUMONDEBEGONE///===

 

Télécharge VirtumundoBegone sur le bureau:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
 
Double-clique sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau
NOTA: Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

 

 

Poste un nouveau log HijackThis en plus du rapport VirtuMondeBeGone.

Modifié le 2 février 2008 par ogu

[machaaa]

hello ogu,

 

je ne sais pas ce qui c'est passé, mais quand j'ai voulu télécharger virtumundoBeGone, antivir, l'a détecté comme virus et j'ai dû le deleter.

du coup (je ne sais vraiment pas pourquoi), je n'ai plus accès à la page de téléchargement de secured2k, si j'essaye il me dit "impossible de trouver l'emplacement..."

et les vundo se reproduise comme des fous (je deviens dingue) si j'essaye de les mettre en quarantaine ou de les deleter, ils reviennent aussitôt.

j'ai alors refais un coup de vundofix en mode safe mais c'est quand même revenu...

 

help!!! qu'est ce que je peux faire????

 

merci pour votre aide!

 

macha

[oGu]

Re;

 

désactive ton antivirus le temps de télécharger et passer VirtuMondeBeGone; ce n'est pas évidemment pas un virus !

[machaaa]

clair, je me disais aussi...

j'ai finalement réussi à le télécharger avec internet explorer, car il était vraiment bloqué avec mozilla...

j'ai donc suivi la procédure avec virtumundobegone mais il ne trouve rien de rien (je poste le rapport asap), par contre vundofix en trouve pas mal, je les ai éliminé. Il restait malgré tout un coriace, que vundofix ne pouvait pas deleter, bon et (en espérant que je n'ai rien abîmé dans mon system32) je l'ai renommé et vundofix a enfin pût s'en débarrasser.

là je termine un dernier scan d'antivir avant de lancer un rapport HijackThis

je poste le tout asap!

 

thanks!!!!!!!

 

macha