[Résolu] Comment supprimer les virus "packed.win32.monder" et "trojan.win32.killAV" ?

philoup007 · le 15 avril 2008

Bonjour

je lutte depuis 2 jours pour éliminer 2 virus ( packed.win32.monder et trojan.win32.killAV)

j'ai besoin d'aide urgent car sinon je dois formater et refaire une installation avec soft pas simple à congigurer !...

à votre bon coeur msieur dames

angelique · le 15 avril 2008

• creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

la lancer, Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

philoup007 · le 15 avril 2008

• creer un nouveau dossier en c:\ nommé HJT
telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

la lancer, Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

merci de répondre à mon appel de détresse !...voilà le résultat...

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:04:41, on 15/04/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Securitoo\Av_Fw\backweb\8520111\Program\fspex.exe

C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe

C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE

C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE

C:\WINDOWS\htpatch.exe

C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE

C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe

C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe

C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguiexe.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\urqpmno.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?1e02961d9fb34ddc8938296392f533cf

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?1e02961d9fb34ddc8938296392f533cf

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O20 - Winlogon Notify: awvtq - C:\WINDOWS\System32\awvtq.dll (file missing)

O20 - Winlogon Notify: gebcc - C:\WINDOWS\System32\gebcc.dll (file missing)

O20 - Winlogon Notify: pmkjj - C:\WINDOWS\System32\pmkjj.dll (file missing)

O20 - Winlogon Notify: ssqpq - C:\WINDOWS\System32\ssqpq.dll (file missing)

O20 - Winlogon Notify: urqpmno - C:\WINDOWS\SYSTEM32\urqpmno.dll

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Securitoo Antivirus Firewall (BackWeb Plug-in - 8520111) - Unknown owner - C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\Av_Fw\backweb\8520111\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe

O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--

End of file - 7600 bytes

c'est grave docteur?

angelique · le 15 avril 2008

c'est grave docteur?

Ouaip , mais on va les niquer

• tu as utilisé symantec norton truc antivirus pour le remplacer par Fsecure, il reste des traces de symantec!!!!si oui::

telecharge et execute:

ftp://ftp.symantec.com/public/english_us_...emoval_Tool.exe

• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.ne touche à rien pendant l'execution des 43/44 ou + etapes

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

philoup007 · le 15 avril 2008

Ouaip , mais on va les niquer

• tu as utilisé symantec norton truc antivirus pour le remplacer par Fsecure, il reste des traces de symantec!!!!si oui::

telecharge et execute:

ftp://ftp.symantec.com/public/english_us_...emoval_Tool.exe

• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.ne touche à rien pendant l'execution des 43/44 ou + etapes

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

ouh qu'il est rassurant mon ange gardien !...voilà le rapport:

ComboFix 08-04-13.3 - F 2008-04-15 18:32:11.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.495 [GMT 2:00]

Endroit: C:\Documents and Settings\F\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-15 to 2008-04-15 ))))))))))))))))))))))))))))))))))))

.

2008-04-15 17:48 . 2008-04-15 17:48 <REP> d-------- C:\Documents and Settings\Administrateur

2008-04-15 15:07 . 2008-04-15 15:07 244 --ah----- C:\sqmnoopt09.sqm

2008-04-15 15:07 . 2008-04-15 15:07 244 --ah----- C:\sqmnoopt08.sqm

2008-04-15 15:07 . 2008-04-15 15:07 232 --ah----- C:\sqmdata09.sqm

2008-04-15 15:07 . 2008-04-15 15:07 232 --ah----- C:\sqmdata08.sqm

2008-04-15 11:15 . 2008-04-15 11:15 <REP> d-------- C:\Documents and Settings\F\Application Data\Grisoft

2008-04-15 11:14 . 2008-04-15 11:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-04-15 11:14 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-04-15 11:08 . 2008-04-15 11:08 244 --ah----- C:\sqmnoopt07.sqm

2008-04-15 11:08 . 2008-04-15 11:08 244 --ah----- C:\sqmnoopt06.sqm

2008-04-15 11:08 . 2008-04-15 11:08 244 --ah----- C:\sqmnoopt05.sqm

2008-04-15 11:08 . 2008-04-15 11:08 244 --ah----- C:\sqmnoopt04.sqm

2008-04-15 11:08 . 2008-04-15 11:08 232 --ah----- C:\sqmdata07.sqm

2008-04-15 11:08 . 2008-04-15 11:08 232 --ah----- C:\sqmdata06.sqm

2008-04-15 11:08 . 2008-04-15 11:08 232 --ah----- C:\sqmdata05.sqm

2008-04-15 11:08 . 2008-04-15 11:08 232 --ah----- C:\sqmdata04.sqm

2008-04-15 10:56 . 2008-04-15 10:56 <REP> d-------- C:\Program Files\CCleaner

2008-04-14 18:22 . 2008-04-14 18:22 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-04-14 17:30 . 2008-04-14 05:40 <REP> d-------- C:\SDFix

2008-04-14 16:23 . 2008-04-14 18:12 567 --a------ C:\WINDOWS\wininit.ini

2008-04-14 15:48 . 2008-04-14 18:43 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-04-14 15:48 . 2008-04-14 18:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-04-14 15:45 . 2008-04-14 15:45 <REP> d-------- C:\Program Files\Trend Micro

2008-04-14 11:33 . 2008-04-14 11:33 273,408 --------- C:\WINDOWS\system32\vtsqp.dll_old

2008-04-14 09:16 . 2008-04-14 11:29 414 ---hs---- C:\WINDOWS\system32\ycuyvkaa.ini

2008-04-11 18:18 . 2008-04-11 18:18 3,648 --a------ C:\WINDOWS\system32\iesxguuo.dll

2008-04-11 18:05 . 2008-04-11 18:05 3,648 --a------ C:\WINDOWS\system32\pehpdlui.dll

2008-04-10 18:03 . 2008-04-10 18:03 3,648 --a------ C:\WINDOWS\system32\fjtboarq.dll

2008-04-10 14:47 . 2008-04-10 14:47 3,648 --a------ C:\WINDOWS\system32\dochppck.dll

2008-04-10 08:59 . 2008-04-10 08:59 3,648 --a------ C:\WINDOWS\system32\nngxxpdf.dll

2008-04-09 17:26 . 2008-04-09 17:26 3,648 --a------ C:\WINDOWS\system32\mpnthpoa.dll

2008-04-09 10:19 . 2008-04-09 10:19 3,648 --a------ C:\WINDOWS\system32\obqerexa.dll

2008-04-03 11:18 . 2008-04-11 10:17 1,532,305 ---hs---- C:\WINDOWS\system32\vrtqluij.ini

2008-03-31 12:04 . 2008-04-03 11:12 1,780,852 ---hs---- C:\WINDOWS\system32\yjkwhvop.ini

2008-03-29 17:58 . 2008-03-31 11:58 1,583,445 ---hs---- C:\WINDOWS\system32\mljqlyyd.ini

2008-03-28 15:53 . 2008-03-29 17:53 1,583,817 ---hs---- C:\WINDOWS\system32\klmlnpss.ini

2008-03-26 17:47 . 2008-03-28 15:48 1,583,682 ---hs---- C:\WINDOWS\system32\tcboldom.ini

2008-03-21 17:28 . 2008-03-26 17:47 1,509,487 ---hs---- C:\WINDOWS\system32\roroorbs.ini

2008-03-20 17:25 . 2008-03-21 17:25 1,491,118 ---hs---- C:\WINDOWS\system32\hfxjdosx.ini

2008-03-18 21:36 . 2008-03-20 17:17 1,729,066 ---hs---- C:\WINDOWS\system32\xcumdtuh.ini

2008-03-18 17:07 . 2008-03-18 17:08 2,065,838 ---hs---- C:\WINDOWS\system32\vbgraoro.ini

2008-03-17 17:08 . 2008-03-18 09:29 1,649,218 ---hs---- C:\WINDOWS\system32\vyobwqja.ini

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-15 10:09 --------- d-----w C:\Program Files\Fichiers communs\Nettordinateur

2008-04-14 16:15 2,526 ----a-w C:\WINDOWS\system32\tmp.reg

2008-04-14 15:42 --------- d-----w C:\Program Files\RogueRemover FREE

2008-04-14 13:52 --------- d-----w C:\Program Files\PestPatrol

2008-03-11 13:26 90,688 ----a-w C:\WINDOWS\system32\xajsrfof.dll

2008-02-04 14:17 93,248 ----a-w C:\WINDOWS\system32\xspayppw.dll

2008-01-31 14:43 95,296 ----a-w C:\WINDOWS\system32\wqftbsif.dll

2008-01-27 13:37 81,920 ----a-w C:\WINDOWS\system32\IEDFix.exe

2006-03-13 14:03 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe

2007-10-08 08:51 6,363 --sh--w C:\WINDOWS\system32\fhkmp.bak1

2007-09-27 06:28 6,440 --sh--w C:\WINDOWS\system32\jjkmp.bak1

2007-09-25 15:41 6,440 --sh--w C:\WINDOWS\system32\qpqss.bak1

2007-09-26 17:08 6,440 --sh--w C:\WINDOWS\system32\qtvwa.bak1

.

((((((((((((((((((((((((((((( snapshot@2008-04-15_17.24.44.01 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-04-15 15:21:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-04-15 16:02:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-04-15 16:03:02 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_2c8.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]

2008-01-11 18:22 39424 --------- C:\WINDOWS\system32\urqpmno.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-12-19 10:40 28672]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]

"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]

"EPSON Stylus C82 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2002-07-01 05:05 74752]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"F-Secure Manager"="C:\Program Files\Securitoo\Av_Fw\Common\FSM32.exe" [2004-12-22 10:28 118832]

"F-Secure TNB"="C:\Program Files\Securitoo\Av_Fw\TNB\TNBUtil.exe" [2005-01-25 17:13 684032]

"F-Secure Startup Wizard"="C:\Program Files\Securitoo\Av_Fw\FSGUI\FSSW.exe" [2005-03-16 15:45 208896]

"News Service"="C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe" [2004-05-06 14:21 372736]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINDOWS\system32\urqpmno.dll [2008-01-11 18:22 39424]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq]

C:\WINDOWS\System32\awvtq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcc]

C:\WINDOWS\System32\gebcc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj]

C:\WINDOWS\System32\pmkjj.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq]

C:\WINDOWS\System32\ssqpq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqpmno]

urqpmno.dll 2008-01-11 18:22 39424 C:\WINDOWS\system32\urqpmno.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Program Files\\Securitoo\\Av_Fw\\backweb\\8520111\\program\\fspex.exe"=

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\System32\drivers\fsdfw.sys [2005-10-24 14:01]

R2 BackWeb Plug-in - 8520111;Securitoo Antivirus Firewall;C:\PROGRA~1\SECURI~1\Av_Fw\backweb\8520111\Program\SERVIC~1.EXE [2006-06-01 16:12]

R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\Securitoo\Av_Fw\Anti-Virus\Win2K\FSfilter.sys [2003-11-14 18:52]

R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\Securitoo\Av_Fw\Anti-Virus\Win2K\FSgk.sys [2008-03-26 17:35]

R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\Securitoo\Av_Fw\Anti-Virus\Win2K\FSrec.sys [2003-02-06 14:32]

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 02:32]

S3 HSFHWCD2;HSFHWCD2;C:\WINDOWS\System32\DRIVERS\HSFHWCD2.sys [2002-07-15 22:58]

*Newly Created Service* - WINIO

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-04-15 08:19:02 C:\WINDOWS\Tasks\Scheduled scanning task.job"

- C:\PROGRA~1\SECURI~1\Av_Fw\ANTI-V~1\fsav.exe` /HARD /ARCHIVE /DISINF /SCHED /NOBREAK /REPORT=C:\PROGRA~1\SECURI~1\Av_Fw\ANTI-V~1\report.txt $C:\PROGRA~1\SECURI~1\Av_Fw\ANTI-V~1.SYSTEM'Tâche ajoutée par F-Secure Anti-Virus.

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-15 18:37:13

Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\urqpmno.dll

.

Temps d'accomplissement: 2008-04-15 18:39:10

ComboFix-quarantined-files.txt 2008-04-15 16:38:55

ComboFix2.txt 2008-04-15 15:55:19

ComboFix3.txt 2008-04-15 15:26:12

Pre-Run: 75,925,319,680 octets libres

Post-Run: 75,915,751,424 octets libres

.

2008-01-31 10:55:26 --- E O F ---

est ce que tu peux m'éclairer de ta science?

philoup007 · le 15 avril 2008

j'ai oublié de te dire que l'objet infecté est : win\sys32\URQPMNO.DLL et que je n'arrive pas à le supprimer

angelique · le 15 avril 2008

j'ai oublié de te dire que l'objet infecté est : win\sys32\URQPMNO.DLL et que je n'arrive pas à le supprimer

oui!oui je le vois bien ;o) ; desactive juste l'antivirus de Fsecure stp!! puis:

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

File::
C:\WINDOWS\system32\vtsqp.dll_old
C:\WINDOWS\system32\ycuyvkaa.ini
C:\WINDOWS\system32\iesxguuo.dll
C:\WINDOWS\system32\pehpdlui.dll
C:\WINDOWS\system32\fjtboarq.dll
C:\WINDOWS\system32\dochppck.dll
C:\WINDOWS\system32\nngxxpdf.dll
C:\WINDOWS\system32\mpnthpoa.dll
C:\WINDOWS\system32\obqerexa.dll
C:\WINDOWS\system32\vrtqluij.ini
C:\WINDOWS\system32\yjkwhvop.ini
C:\WINDOWS\system32\mljqlyyd.ini
C:\WINDOWS\system32\klmlnpss.ini
C:\WINDOWS\system32\tcboldom.ini
C:\WINDOWS\system32\roroorbs.ini
C:\WINDOWS\system32\hfxjdosx.ini
C:\WINDOWS\system32\xcumdtuh.ini
C:\WINDOWS\system32\vbgraoro.ini
C:\WINDOWS\system32\vyobwqja.ini
C:\WINDOWS\system32\xajsrfof.dll
C:\WINDOWS\system32\xspayppw.dll
C:\WINDOWS\system32\wqftbsif.dll
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\fhkmp.bak1
C:\WINDOWS\system32\jjkmp.bak1
C:\WINDOWS\system32\qpqss.bak1
C:\WINDOWS\system32\qtvwa.bak1
C:\WINDOWS\SYSTEM32\urqpmno.dll
C:\WINDOWS\System32\awvtq.dll
C:\WINDOWS\System32\gebcc.dll
C:\WINDOWS\System32\pmkjj.dll
C:\WINDOWS\System32\ssqpq.dll

Folder::
C:\Program Files\Fichiers communs\Nettordinateur
C:\SDFix

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcc]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqpmno]

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

le 16 avril 2008

oui!oui je le vois bien ;o) ; desactive juste l'antivirus de Fsecure stp!! puis:

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:
File::
C:\WINDOWS\system32\vtsqp.dll_old
C:\WINDOWS\system32\ycuyvkaa.ini
C:\WINDOWS\system32\iesxguuo.dll
C:\WINDOWS\system32\pehpdlui.dll
C:\WINDOWS\system32\fjtboarq.dll
C:\WINDOWS\system32\dochppck.dll
C:\WINDOWS\system32\nngxxpdf.dll
C:\WINDOWS\system32\mpnthpoa.dll
C:\WINDOWS\system32\obqerexa.dll
C:\WINDOWS\system32\vrtqluij.ini
C:\WINDOWS\system32\yjkwhvop.ini
C:\WINDOWS\system32\mljqlyyd.ini
C:\WINDOWS\system32\klmlnpss.ini
C:\WINDOWS\system32\tcboldom.ini
C:\WINDOWS\system32\roroorbs.ini
C:\WINDOWS\system32\hfxjdosx.ini
C:\WINDOWS\system32\xcumdtuh.ini
C:\WINDOWS\system32\vbgraoro.ini
C:\WINDOWS\system32\vyobwqja.ini
C:\WINDOWS\system32\xajsrfof.dll
C:\WINDOWS\system32\xspayppw.dll
C:\WINDOWS\system32\wqftbsif.dll
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\fhkmp.bak1
C:\WINDOWS\system32\jjkmp.bak1
C:\WINDOWS\system32\qpqss.bak1
C:\WINDOWS\system32\qtvwa.bak1
C:\WINDOWS\SYSTEM32\urqpmno.dll
C:\WINDOWS\System32\awvtq.dll
C:\WINDOWS\System32\gebcc.dll
C:\WINDOWS\System32\pmkjj.dll
C:\WINDOWS\System32\ssqpq.dll

Folder::
C:\Program Files\Fichiers communs\Nettordinateur
C:\SDFix

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkjj]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcc]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpq]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqpmno]
[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

ohé !...j'ai partir en vitesse pour aller chercher mon loupiot qui s'impatientait chez sa mère grand...j'espère quermon Ange Elique sera toujours au dessus de ma tête....voilà le rapport

ComboFix 08-04-13.3 - F 2008-04-16 9:59:07.5 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.544 [GMT 2:00]

Endroit: C:\Documents and Settings\F\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\F\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::

C:\WINDOWS\System32\awvtq.dll

C:\WINDOWS\system32\dochppck.dll

C:\WINDOWS\system32\fhkmp.bak1

C:\WINDOWS\system32\fjtboarq.dll

C:\WINDOWS\System32\gebcc.dll

C:\WINDOWS\system32\hfxjdosx.ini

C:\WINDOWS\system32\IEDFix.exe

C:\WINDOWS\system32\iesxguuo.dll

C:\WINDOWS\system32\jjkmp.bak1

C:\WINDOWS\system32\klmlnpss.ini

C:\WINDOWS\system32\mljqlyyd.ini

C:\WINDOWS\system32\mpnthpoa.dll

C:\WINDOWS\system32\nngxxpdf.dll

C:\WINDOWS\system32\obqerexa.dll

C:\WINDOWS\system32\pehpdlui.dll

C:\WINDOWS\System32\pmkjj.dll

C:\WINDOWS\system32\qpqss.bak1

C:\WINDOWS\system32\qtvwa.bak1

C:\WINDOWS\system32\roroorbs.ini

C:\WINDOWS\System32\ssqpq.dll

C:\WINDOWS\system32\tcboldom.ini

C:\WINDOWS\SYSTEM32\urqpmno.dll

C:\WINDOWS\system32\vbgraoro.ini

C:\WINDOWS\system32\vrtqluij.ini

C:\WINDOWS\system32\vtsqp.dll_old

C:\WINDOWS\system32\vyobwqja.ini

C:\WINDOWS\system32\wqftbsif.dll

C:\WINDOWS\system32\xajsrfof.dll

C:\WINDOWS\system32\xcumdtuh.ini

C:\WINDOWS\system32\xspayppw.dll

C:\WINDOWS\system32\ycuyvkaa.ini

C:\WINDOWS\system32\yjkwhvop.ini

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Previous Run -------

.

C:\Program Files\Fichiers communs\Nettordinateur

C:\SDFix

C:\SDFix\apps\assosfix.reg

C:\SDFix\apps\cliptext.exe

C:\SDFix\apps\download.exe

C:\SDFix\apps\dummy.sys

C:\SDFix\apps\Enable_Command_Prompt.reg

C:\SDFix\apps\ERDNT.E_E

C:\SDFix\apps\ERDNTDOS.LOC

C:\SDFix\apps\ERDNTWIN.LOC

C:\SDFix\apps\ERUNT.EXE

C:\SDFix\apps\ERUNT.LOC

C:\SDFix\apps\fix.reg

C:\SDFix\apps\FixBH.reg

C:\SDFix\apps\FixComponents.reg

C:\SDFix\apps\FIXCU.reg

C:\SDFix\apps\FIXLM.reg

C:\SDFix\apps\FixPath.exe

C:\SDFix\apps\FixRedir.reg

C:\SDFix\apps\FixSchedule.reg

C:\SDFix\apps\FixWebCheck.reg

C:\SDFix\apps\fixXP.reg

C:\SDFix\apps\FixXPsp2.reg

C:\SDFix\apps\grep.exe

C:\SDFix\apps\HPFix.reg

C:\SDFix\apps\HPFix2.reg

C:\SDFix\apps\HPFix3.reg

C:\SDFix\apps\HPFix4.reg

C:\SDFix\apps\HPFix5.reg

C:\SDFix\apps\HPFix6.reg

C:\SDFix\apps\HPFix7.reg

C:\SDFix\apps\isadmin.exe

C:\SDFix\apps\leg2.txt

C:\SDFix\apps\legacy.txt

C:\SDFix\apps\legacybk.txt

C:\SDFix\apps\locate.com

C:\SDFix\apps\LS.exe

C:\SDFix\apps\MD5File.exe

C:\SDFix\apps\MyGcpvFix.reg

C:\SDFix\apps\MyGkFix2.reg

C:\SDFix\apps\Process.exe

C:\SDFix\apps\procs.exe

C:\SDFix\apps\psservice.exe

C:\SDFix\apps\Rem.txt

C:\SDFix\apps\Rem2.txt

C:\SDFix\apps\Replace\regedit.exe

C:\SDFix\apps\Replace\W2K.exe

C:\SDFix\apps\Replace\w2k\beep.sys

C:\SDFix\apps\Replace\w2k\null.sys

C:\SDFix\apps\Replace\XP.exe

C:\SDFix\apps\Replace\xp\beep.sys

C:\SDFix\apps\Replace\xp\null.sys

C:\SDFix\apps\Reset_AppInit_DLLs.reg

C:\SDFix\apps\RestartIt!.exe

C:\SDFix\apps\Restore_SecurityCenter.reg

C:\SDFix\apps\Restore_SharedAccess.reg

C:\SDFix\apps\sc.exe

C:\SDFix\apps\sed.exe

C:\SDFix\apps\SF.exe

C:\SDFix\apps\shutdown.exe

C:\SDFix\apps\srv2.txt

C:\SDFix\apps\srv2bk.txt

C:\SDFix\apps\svc.txt

C:\SDFix\apps\svcbk.txt

C:\SDFix\apps\swreg.exe

C:\SDFix\apps\swsc.exe

C:\SDFix\apps\unzip.exe

C:\SDFix\apps\vfind.exe

C:\SDFix\apps\WINMSG.EXE

C:\SDFix\apps\winsec.reg

C:\SDFix\apps\zip.exe

C:\SDFix\catchme.exe

C:\SDFix\dummy.sys

C:\SDFix\HOSTS

C:\SDFix\RunThis.bat

C:\SDFix\SDFIX_ReadMe_Online.url