Falkra: une reroutée de Sev en déroute

[l'oreleï]

Cher Falkra

Une observation, pourquoi le rapport du scan antivir effectué apres le nettoyage de MBAM a t-il trouvé des traces importantes de Vundo , pourquoi MBAM

n'a-il pas deleté lui même les fichiers infectés?

Je ne crois pas que ces fichiers aient été detruits par Antivir, ça me parait trop simple! Mais peut être que je souffre de paranoïa

Merci de ta réponse.

Pour la réponse à ta question c'est apparu avec l'intru et sa prise de possession de mon ordi, mais les fichiers de démarrage ont ils une incidence sur ces éléments car il se peut que j'ai tripo..

j'atttends tes commentaires

L'Oreleï

[Falkra]

Certains fichiers sont actifs, d'autres pas. Les fichiers inactifs (qui traînent sur le disque sans être chargés en mémoire) n'apparaissent pas dans les rapports de diagnostic, qui dressent la liste de ce qui est actif. NB : les ifhciers inactifs ne sont pas dangereux, mais les supprimer est logique et nécessaire.

 

Vois si Autoplay repair peut t'aider pour la reconnaissance des CD et clés USB :

http://www-stud.uni-essen.de/~sddabacz/prog.php?id=apr (programme gratuit)

 

Désinstalle SDfix via ajout/suppression de programmes.

[l'oreleï]

Falkra

 

Je vais suivre ton conseil pour les perturbations du système,

et je t'informerai des résultats.

Bonne nuit et Grencore merci

l'oreleï

[l'oreleï]

Cher Falkra

 

Avec tes précieux conseils, j'ai presque retrouvé toutes les fonctionnalités

de mon portable. Quelques infos pour ta gouverne.

En premier lieu l'intrus ne se manifeste plus merci tres fort!!

En deuxième lieu, j'ai fait un détour par exe:msconfig et j'ai remis en service

la fonction demarrage en mode normale, toutes les actions qui avaient besoin des sercices

sont reparties (cle USB, Son, reconnaissance de CD...!!)

En troisième lieu quand je redémarre et que le bureau s'installe, il ouvre une fenetre qui avertit:

"2 erreurs de chargement, C:windows\système32\ideaoyfb.dll

le module spécidié est introuvable, idem avec

C:windows\système32\thqhfrrqq.dll

Comment m'en débarrasser?

Pour internet j'ai essayé, mais je suis configurée avec la neufbox et ma tentative actuelle s'effectue via Tele2box.

Selon toi je dois reconfigurer pour passer du FAI 9 au FAI tele2?

Quoi qu'il soit:

En corps merci Falkra pour ta généreuse disponibilité et ta vundofermeté

L'Oreleï

[Falkra]

Poste un nouveau rapport DSS stp (le main.txt seulement, le extra ne se fera pas, de toute façon).

[l'oreleï]

Cher Falkra

L'informatique est une source inépuisable de rebondissements,

cette apres midi en rallumant mon portable, qui etait en veille,

j'ai eu un écran bleu, avec toutes les mises en garde

qui accompagnent cette apparition, un écran bleu c'est un peu comme un rayon vert

on pense que ca n'existe que dans les films de Rohmer.

Pour cette raison en plus du rapport main texte, je te livre

les lignes d'écriture d'une erreur sérieuse qui s'est produite

peu avant le grand bleu, et que faute d'internet je n'adresse qu'à toi.

Dois-je m'inquiter?

J'ai rallumé depuis mon portable sans reproduction du problème

mais tjrs avec ses deux erreurs de chargement

Merci L'oreleï

 

Deckard's System Scanner v20071014.68

Run by Biketo on 2008-07-30 23:01:19

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

 

 

-- HijackThis (run as Biketo.exe) ----------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:01:40, on 30/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\iFinger\iFinger.exe

C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe

C:\Program Files\Softissimo\Lexibase Pro\exe\lexibase.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\Program Files\Softissimo\Lexibase Pro\exe\lexibase.exe

C:\Program Files\QuickTime\PrintKey 2000 Fr\Printkey 2000 Fr.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Biketo\Bureau\dss.exe

C:\PROGRA~1\HIJACK~1\Biketo.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [bM1ff89755] Rundll32.exe "C:\WINDOWS\system32\thqhfrqq.dll",s

O4 - HKLM\..\Run: [1ccba4c9] rundll32.exe "C:\WINDOWS\system32\ldoaoyfb.dll",b

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\mp\devdpll.exe

O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\QuickTime\PrintKey 2000 Fr\Printkey 2000 Fr.exe

O4 - Global Startup: iFinger 2.0.lnk = C:\Program Files\iFinger\iFinger.exe

O4 - Global Startup: Lexibase Express.lnk = C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/fichier...on_3_0_0_32.cab

O16 - DPF: {A90A5822-F108-45AD-8482-9BC8B12DD539} (Crucial cpcScan) - http://www.orderingmemory.com/controls/cpcScanner.cab

O16 - DPF: {B9907873-6560-4A36-B76B-9DADE84A7F55} (FnacmusicDnl.DnlManager) - http://www.fnacmusic.com/telechargementFna...nacmusicDnl.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{5E594E80-8378-4E0F-8188-CAF89D009AD8}: NameServer = 192.168.1.1

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - Unknown owner - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe (file missing)

 

--

End of file - 6534 bytes

 

-- Files created between 2008-06-30 and 2008-07-30 -----------------------------

 

2008-07-29 11:17:44 0 d-------- C:\Documents and Settings\Biketo\Application Data\Malwarebytes

2008-07-29 11:17:36 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-07-29 11:17:36 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-07-28 11:10:46 0 d-------- C:\WINDOWS\ERUNT

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-07-29 09:32:39 0 d-------- C:\Program Files\Yahoo!

2008-07-23 23:53:45 0 d-------- C:\Program Files\DivX

2008-06-07 19:27:13 0 d-------- C:\Program Files\QuickTime

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [30/04/2008 13:48]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [29/06/2007 06:24]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [14/10/2005 20:53]

"SoundMan"="SOUNDMAN.EXE" [24/04/2003 16:53 C:\WINDOWS\SOUNDMAN.EXE]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [28/07/2003 15:12]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" []

"BM1ff89755"="C:\WINDOWS\system32\thqhfrqq.dll" []

"1ccba4c9"="C:\WINDOWS\system32\ldoaoyfb.dll" []

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [13/10/2004 18:24]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [20/01/2008 23:40]

"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" []

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [20/08/2004 01:09]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"NISUM"=2 (0x2)

"ccPxySvc"=2 (0x2)

"ccPwdSvc"=3 (0x3)

"ccEvtMgr"=2 (0x2)

"avast! Web Scanner"=3 (0x3)

"avast! Mail Scanner"=3 (0x3)

"avast! Antivirus"=2 (0x2)

"aswUpdSv"=2 (0x2)

"AVG Anti-Spyware Guard"=2 (0x2)

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

 

 

 

-- End of Deckard's System Scanner: finished at 2008-07-30 23:02:10 ------------

 

BCCode : 1000007f BCP1 : 00000008 BCP2 : 80042000 BCP3 : 00000000

BCP4 : 00000000 OSVer : 5_1_2600 SP : 2_0 Product : 768_1

C:\DOCUME~1\Biketo\LOCALS~1\Temp\WER0942.dir00\Mini073008-01.dmp

C:\DOCUME~1\Biketo\LOCALS~1\Temp\WER0942.dir00\sysdata.xml

[Falkra]

Il faudrait un type d'erreur pour l'écran, bleu, genre IRQL_NOT_LESS_EQUAL (un truc en majuscules, en haut à gauche, si ça se reproduit)

 

Relance HijackThis, coche les lignes suivantes et clique sur le bouton Fix checked, en bas à gauche :

O4 - HKLM\..\Run: [bM1ff89755] Rundll32.exe "C:\WINDOWS\system32\thqhfrqq.dll",s

O4 - HKLM\..\Run: [1ccba4c9] rundll32.exe "C:\WINDOWS\system32\ldoaoyfb.dll",b

Ca finira côté infection : il n'y a pas de fichier en face, ce sont des restes inactifs.

[l'oreleï]

Cher falkra

 

Encore merci¨...

 

L'orelei

[Falkra]

Est-ce que tu as eu d'autres écrans bleus ? Vu d'ici et sans nom d'erreur je ne peux pas dire si c'est juste windows qui râle, un driver ou autre chose de pus vicieux.

 

Un exemple de nom d'erreur, en haut à gauche :