cfmon

[animowish]

Bonjour j'ai un petit problème avec ce malware, je l'ai détecter sur mon ordi au moment de l'éteindre, il me disais que ce programme ne voulait pas s'arrêter, ensuite j'ai regarder sur les forum et il disait que c'était un malware, j'ai donc passé mon antivirus avira qui n'a rien détecté ainsi que le programme Malwarebytes qui ne l'a pas trouver non plus voila mon scan avec HijackThis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:42:24, on 03/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\LogMeIn\x86\LogMeInSystray.exe

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\Program Files\LogMeIn\x86\LMIGuardian.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\I0IUJ99S\HiJackThis[1].exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://download.gigabyte.com.tw/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [GEST] =

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/co...ex/qtplugin.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe

O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\sched.exe

O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avguard.exe

O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[pear]

Bonjour,

 

Vous êtes certain d'avoir écrit la bonne orthographe ?

Sur votre rapport , je vois bien Ctfmon qui est légitime mais pas le malware cfmon.

[animowish]

bonjour oui je suis sur pour l'orthographe utilisé, c'était bien cfmon que j'avais aperçu, et pas ctfmon

[Leon76]

OK, désolé

Modifié le 3 mai 2009 par Leon76

[Falkra]

Bonjour Leon76,

 

Tu n'avais peut-être pas vu/lu la faq qui explique le fonctionnement de la section, cela arrive.

 

Je t'invite donc à la lire maintenant, c'est par là :

http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html

 

Tout est bien expliqué, notamment les permissions pour prendre en charge une désinfection. Merci d'avance.

[pear]

Alors , si vous êtes sûr:

 

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

Sound Sservice Driver

:Services

Sound Sservice Driver

:Files

C:\WINDOWS\System32\cfmon.exe

 

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

[animowish]

voila je viens d'utiliser le programme et il me donne ceci

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

Unable to kill process: Sound Sservice Driver

========== SERVICES/DRIVERS ==========

Service\Driver Sound Sservice Driver not found.

Service\Driver Sound Sservice Driver not found.

========== FILES ==========

File/Folder C:\WINDOWS\System32\cfmon.exe not found.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\ANIMOW~1\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\VB14D38E\AP_ADV_300x250[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\VB14D38E\cfmon-t162603[2].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\Q1058QQM\cfmon-t162603[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\FNG4TMBO\ads[11].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\FNG4TMBO\ban_728x90[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\FNG4TMBO\iframe[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\DCT65JO4\AP_ADV_728x90[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\B6OVCO7Z\AP_CPL_728x90[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\B6OVCO7Z\rectangle_300x250[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\8250ZBKQ\ECA7PAYKXCASPJ55GCAQ37KPBCAX4EO68CAYUBCNVCA672BMUCAMNUVUDCA167OEKCAEBGNDZCA

CQQU9WCABQ53C0CAS9DX7LCAKSESJDCAOW0KDECA9ZKISLCAUSCCP8CANVY9DOCABFMGCDCAH5U7RO.ht

m scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\1M29GUVB\hp[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

Network Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_6d4.dat scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_7a4.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05032009_151443

 

Files moved on Reboot...

C:\DOCUME~1\ANIMOW~1\LOCALS~1\Temp\hpodvd09.log moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\VB14D38E\AP_ADV_300x250[1].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\VB14D38E\cfmon-t162603[2].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\Q1058QQM\cfmon-t162603[1].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\FNG4TMBO\ads[11].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\FNG4TMBO\ban_728x90[1].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\FNG4TMBO\iframe[1].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\DCT65JO4\AP_ADV_728x90[1].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\B6OVCO7Z\AP_CPL_728x90[1].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\B6OVCO7Z\rectangle_300x250[1].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\8250ZBKQ\ECA7PAYKXCASPJ55GCAQ37KPBCAX4EO68CAYUBCNVCA672BMUCAMNUVUDCA167OEKCAEBGNDZCA

CQQU9WCABQ53C0CAS9DX7LCAKSESJDCAOW0KDECA9ZKISLCAUSCCP8CANVY9DOCABFMGCDCAH5U7RO.ht

m moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\Content.IE5\1M29GUVB\hp[1].htm moved successfully.

C:\Documents and Settings\Animowish\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.

File C:\WINDOWS\temp\Perflib_Perfdata_6d4.dat not found!

File C:\WINDOWS\temp\Perflib_Perfdata_7a4.dat not found!

[pear]

Et comme vous le voyez , il n'a rien trouvé.

[animowish]

Et comme vous le voyez , il n'a rien trouvé.

 

donc cela signifierait qu'il n'y aurait rien comme problème sur mon pc avec ce fichier?, pourtant j'ai bien vu hier soir ce nom :-/, en arrêtant mon pc juste avant avec le message que ce programme ne voulait pas s'arrêter avec cfmon :-/

[pear]

On va me chercher:

 

Téléchargez SystemLook sur le Bureau à partir d'un des liens ci-dessous.

Miroir de téléchargement #1

Miroir de téléchargement #2

* Double-cliquer sur SystemLook.exepour le lancer.

* Clic droit|Copier sur ce qui suit , en vert et clic droit|Coller dans la zone texte de SystemLook :

[codeX]SCRIPT[/codeX]

 

:filefind

*cfmon*

:regfind

cfmon

* Cliquer sur le bouton Look pour démarrer l'examen.

* le Bloc-notes s'ouvrira avec le résultat de l'analyse.

Copier-coller le rapport dans la prochaine réponse.

 

Note : Le rapport peut aussi être trouvé sur le Bureau sous le nom SystemLook.txt