PC infecté sans connexion Internet possible).

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

pc infecté sans connexion internet possible

Messagede roumy andre » 03 Nov 2007, 16:33

NickW, bonjour

J'ai terminé les scans. Mais j'ai la schoumoune !..J'était en train de graver les logs sur le CD de transfert quand au 3 ème log le lecteur commence à bafouiller le Cd tourne sans pouvoir s'arrêter avec un bruit sinstre..
Si tu as des idées ?.. Il faut que je te dise que depuis quelques temps zffequpjy.exe m'embête avec un message ""il n'y a pas de CD dans le lecteur " -même s'il y en a un et difficile de supprimer le message qui revient sans arrêt..je ne sais s'il y a un rapport..

Rq j'ai lu que souvent en desinstallant le pilote et en le réinstallant on réparait ?
roumy andre
 
Messages: 107
Inscription: 27 Oct 2007, 15:43

pc infecté sans connexion internet possible

Messagede roumy andre » 04 Nov 2007, 16:03

Bonjour NickW, du nouveau..

re-essais sur le CD de transfert : tourne toujours , impossible d'ouvrir. ( sur PC-malade )
Aller voir sur mon PC : je peux ouvrir et oh! stupéfaction tous les logs et logociels enrgistrés disparus sauf HJT. Que signifie ? Est-ce possible ?

L'idée de reprendre un autre CD neuf, et là pas de pb je peux enregistrer tout. Heureux !!

BILAN

a - nette amélioration des réactions. Ne nous avançons pas trop, pour l'instant j'etais cantonné dans les même fonctions..
Cependant l'installation du bureau est lente encore.Peut-on améliorer ?
zffequpjy.exe m'a copieusement embêté avec sa fenêtre toujours.

b -HJT Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:52, on 04/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\zffequpjy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\tuvutqo.dll
O2 - BHO: (no name) - {AA41A037-3359-4556-A257-8183E6DD5CBE} - C:\WINDOWS\System32\ssqnl.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [china] C:\nasajplview.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\zffequpjy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/206f8060b82 ... 601_fr.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: tuvutqo - C:\WINDOWS\SYSTEM32\tuvutqo.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6979 bytes


AVG ---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 11:40:56 04/10/2006

+ Résultat de l'analyse:



C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061616.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061617.exe -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061610.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061612.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061613.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061614.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061615.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061627.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061637.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061650.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061660.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061673.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061682.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP4\A0061691.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\zffequpjy.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\gmafrufwh.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).


SDFIX

SDFix: Version 1.112

Run by Cecile Roumy on 02/10/2006 at 18:30

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
Microsoft Agent

ImagePath:
"C:\WINDOWS\System32\dllcache\frehost.exe"

Microsoft Agent - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\27031_~1.EXE - Deleted
C:\WINDOWS\system\NOTEPAD.exe - Deleted
C:\WINDOWS\system32\firewall.exe - Deleted


Folder C:\Program Files\Network Monitor - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\System32\\zffequpjy.exe"="C:\\WINDOWS\\System32\\zffequpjy.exe:*:Enabled:Log System"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 28 Aug 2001 80,384 A.SHR --- "C:\imfkznebe.exe"
Tue 28 Aug 2001 80,384 ...H. --- "C:\jpbmknecb.exe"
Tue 28 Aug 2001 80,384 A.SHR --- "C:\vvqtuvfds.exe"
Wed 12 Sep 2007 4,380 A..H. --- "C:\WINDOWS\system32\corqhnit.exe"
Thu 13 Sep 2007 24,024 A..H. --- "C:\WINDOWS\system32\daqqvzye.exe"
Wed 12 Sep 2007 69,860 A..H. --- "C:\WINDOWS\system32\degqeik.exe"
Thu 13 Sep 2007 10,884 A..H. --- "C:\WINDOWS\system32\ifysqr.exe"
Tue 28 Aug 2001 80,384 ..SHR --- "C:\WINDOWS\system32\kbqozasnt.exe"
Sun 2 Sep 2007 80,384 A.SH. --- "C:\WINDOWS\system32\mftrmrnjl.exe"
Thu 13 Sep 2007 43,916 A..H. --- "C:\WINDOWS\system32\onsmkfy.exe"
Thu 13 Sep 2007 50,324 A..H. --- "C:\WINDOWS\system32\prevsa.exe"
Sat 15 Sep 2007 69,860 A..H. --- "C:\WINDOWS\system32\qojhh.exe"
Wed 12 Sep 2007 69,860 A..H. --- "C:\WINDOWS\system32\rgnxccx.exe"
Mon 3 Sep 2007 69,860 A..H. --- "C:\WINDOWS\system32\yjdtxf.exe"
Tue 28 Aug 2001 80,384 A.SHR --- "C:\WINDOWS\system32\zffequpjy.exe"
Mon 25 Jun 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Mon 25 Jun 2007 401 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv18.bak"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP0\A0000042.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0000044.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0001071.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0002008.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0003008.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0004008.exe"
Tue 28 Aug 2001 511,488 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0004010.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0004024.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0005021.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP1\A0005038.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0005043.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0005061.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0005080.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0005091.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0006094.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0007092.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0007109.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0008109.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0009108.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0009120.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0009131.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0009142.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0009153.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0012155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0013156.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0014157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0017154.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0018155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0019157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0022155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0023157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0024157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0025155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0026155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0027157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0028155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0029155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0030157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0031155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0033155.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0034157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0035157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0036157.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0036166.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP2\A0037168.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0037172.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0037183.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0037200.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0037211.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0037224.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0038224.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0039224.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0039237.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0039246.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0039259.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0040261.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0043259.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0044259.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0050259.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0055259.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0058259.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059259.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059271.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059284.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059301.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059315.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059331.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059346.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059360.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059378.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059391.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059407.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0059422.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0060422.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0060438.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0060453.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0060464.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0060479.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0060494.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0060538.exe"
Tue 28 Aug 2001 80,384 A..H. --- "C:\System Volume Information\_restore{84EB1796-A022-436F-BFCA-BED09733F54C}\RP3\A0060550.exe"
Thu 5 Aug 2004 32,840 ...H. --- "C:\Documents and Settings\Cecile Roumy\Mes documents\Ma musique\Finale 2005 (D_)\AUTORUN.EXE"
Thu 5 Aug 2004 32,840 A..H. --- "C:\Documents and Settings\roumy c‚cile\Mes documents\Finale 2005\Finale 2005 (D_)\AUTORUN.EXE"

Finished!

Je t'envois navi1, log de OTMovelt et Vundofix demain. J'espère pas de problème.
roumy andre
 
Messages: 107
Inscription: 27 Oct 2007, 15:43

pc infecté sans connexion internet possible

Messagede roumy andre » 05 Nov 2007, 15:46

Voilà la fin du bilan

NAVI1

Search Navipromo version 3.3.2 commencé le 02/10/2006 à 17:11:19,73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spéblurpte !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Cecile Roumy\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\CECILE~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\CECILE~1\LOCALS~1\APPLIC~1 *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\lnqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\lnqss.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche Heuristique :

C:\WINDOWS\system32\hxil.exe trouvé !
C:\WINDOWS\system32\niyoazv.exe trouvé !


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 02/10/2006 à 17:12:26,66 ***


OTMOVEIT

File/Folder C:\WINDOWS\System32\ssqnl.dll not found.
DllUnregisterServer procedure not found in C:\WINDOWS\System32\tuvutqo.dll
C:\WINDOWS\System32\tuvutqo.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\tuvutqo.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\System32\buoxtvnk.dll not found.
File/Folder C:\WINDOWS\System32\firewall.exe not found.
File/Folder C:\WINDOWS\System32\spoolsvc.exe not found.
File/Folder C:\WINDOWS\System32\winIogon.exe not found.
C:\nasajplview.exe moved successfully.
File/Folder C:\WINDOWS\System32\dllcache\frehost.exe not found.
File/Folder C:\WINDOWS\system\NOTEPAD.exe not found.
File/Folder not found.

Created on 10/02/2006 19:40:17


VUNDOFIX


VundoFix V6.5.11

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 17:25:50 02/10/2006

Listing files found while scanning....

C:\WINDOWS\System32\buoxtvnk.dll
C:\windows\system32\ddcaxwu.dll
C:\WINDOWS\System32\fpdbsyes.ini
C:\windows\system32\jkkkklj.dll
C:\windows\system32\lnqss.bak1
C:\windows\system32\lnqss.bak2
C:\windows\system32\lnqss.ini
C:\windows\system32\pmnooml.dll
C:\windows\system32\qommnkj.dll
C:\WINDOWS\System32\seysbdpf.dll
C:\windows\system32\ssqnl.dll
C:\WINDOWS\System32\tuvutqo.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\buoxtvnk.dll
C:\WINDOWS\System32\buoxtvnk.dll Has been deleted!

Attempting to delete C:\windows\system32\ddcaxwu.dll
C:\windows\system32\ddcaxwu.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\fpdbsyes.ini
C:\WINDOWS\System32\fpdbsyes.ini Has been deleted!

Attempting to delete C:\windows\system32\jkkkklj.dll
C:\windows\system32\jkkkklj.dll Has been deleted!

Attempting to delete C:\windows\system32\lnqss.bak1
C:\windows\system32\lnqss.bak1 Has been deleted!

Attempting to delete C:\windows\system32\lnqss.bak2
C:\windows\system32\lnqss.bak2 Has been deleted!

Attempting to delete C:\windows\system32\lnqss.ini
C:\windows\system32\lnqss.ini Has been deleted!

Attempting to delete C:\windows\system32\pmnooml.dll
C:\windows\system32\pmnooml.dll Has been deleted!

Attempting to delete C:\windows\system32\qommnkj.dll
C:\windows\system32\qommnkj.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\seysbdpf.dll
C:\WINDOWS\System32\seysbdpf.dll Has been deleted!

Attempting to delete C:\windows\system32\ssqnl.dll
C:\windows\system32\ssqnl.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\tuvutqo.dll
C:\WINDOWS\System32\tuvutqo.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\tuvutqo.dll
C:\WINDOWS\System32\tuvutqo.dll Could not be deleted.

Performing Repairs to the registry.
Done!
roumy andre
 
Messages: 107
Inscription: 27 Oct 2007, 15:43

Messagede nickW » 07 Nov 2007, 00:44

Bonsoir,

Chacun des outils utilisés a effectué plusieurs nettoyages. :D

Il reste cependant quelques fichiers récalcitrants, mais nous en viendrons à bout. :wink:


Nouvelle procédure:

1ère partie: A faire sur le PC "connecté" (alias "non-malade")

Création du fichier OTfichiers2.txt

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone Code ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
C:\WINDOWS\System32\zffequpjy.exe
C:\WINDOWS\SYSTEM32\tuvutqo.dll
C:\nasajplview.exe


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTfichiers2.txt
Fermer le Bloc-notes.

Ce fichier OTfichiers2.txt devra être transféré sur le PC malade.



2nde partie: A faire sur le PC "malade":

Étape 1: VundoFix (de Atribune)
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe

Faire un clic droit dans la zone blanche de la fenêtre de VundoFix
Une nouvelle fenêtre va s'ouvrir
Sous "Paste files into the boxes below"
*- saisir exactement dans la première ligne C:\WINDOWS\SYSTEM32\tuvutqo.dll puis cliquer sur le bouton Add File(s)
*- saisir exactement dans la deuxième ligne C:\WINDOWS\SYSTEM32\oqtuvut.* puis cliquer sur le bouton Add File(s)

ensuite cliquer sur le bouton Close Window

Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".



Étape 2: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked:
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\tuvutqo.dll
O2 - BHO: (no name) - {AA41A037-3359-4556-A257-8183E6DD5CBE} - C:\WINDOWS\System32\ssqnl.dll (file missing)
O4 - HKLM\..\Run: [china] C:\nasajplview.exe
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\zffequpjy.exe
O20 - Winlogon Notify: tuvutqo - C:\WINDOWS\SYSTEM32\tuvutqo.dll

Fermer HijackThis.


Étape 3: OTMoveIt (de OldTimer)
Faire un double clic sur OTMoveIt.exe pour lancer l'outil.
Ouvrir le fichier OTfichiers2.txt dans le Bloc-notes.
En sélectionner toutes les lignes puis appuyer simultanément sur les touches Ctrl et C

Retourner dans la fenêtre de OTMoveIt, faire un clic droit dans la fenêtre de gauche nommée "Paste List of Files/Folders to be moved" et choisir Coller.
Cliquer sur le bouton MoveIt!
Attendre la fin du travail de l'outil puis fermer OTMoveIt.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 4: Résultats
Générer un nouveau log HijackThis depuis la version 2.0.2 qui se trouve dans le dossier C:\HJT
Envoyer en réponse (après transfert des fichiers sur le PC "connecté"):
*- ce nouveau log HijackThis
*- le rapport de OTMoveIt (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

Note: comme il y a plusieurs logs, deux messages seront peut-être nécessaires.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

PC infecté sans connexion Internet possible).

Messagede roumy andre » 08 Nov 2007, 10:24

Bonjour,
- 1ère partie éxécutée
- 2ème partie : Pb lorsque le scan est lancé ( après Scan for Vundo) il s'arrête et affiche le message " done searching for files " avec ecrit tout en haut C:\WINDOWS\SYSTEM32\tuvutqo.dll
une première fois j'ai cliqué sur ok pour recommencer le scan, même resultat.
s'agit-i d'un fait nouveau , d'une erreur de frappe de ma part ( c'est ecrit très petit ) ? Que dois-je faire ? Merci

Rq VundoFix ellimine les 2 récalcitrants ?
roumy andre
 
Messages: 107
Inscription: 27 Oct 2007, 15:43

Messagede nickW » 08 Nov 2007, 18:29

Bonsoir,

- 2ème partie : Pb lorsque le scan est lancé ( après Scan for Vundo) il s'arrête et affiche le message " done searching for files " avec ecrit tout en haut C:\WINDOWS\SYSTEM32\tuvutqo.dll
une première fois j'ai cliqué sur ok pour recommencer le scan, même resultat.


Si tu en as la possibilité, il faut cliquer sur le bouton Remove Vundo

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

PC infecté sans connexion Internet possible).v

Messagede roumy andre » 10 Nov 2007, 15:22

NickW, bonjour

Voilà les 3 scans apres quelques chicaneries du graveur (refus) et encore zffequpjy.exe et son message


HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:52, on 04/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\zffequpjy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\system32\tuvutqo.dll
O2 - BHO: (no name) - {AA41A037-3359-4556-A257-8183E6DD5CBE} - C:\WINDOWS\System32\ssqnl.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [china] C:\nasajplview.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\zffequpjy.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/206f8060b82 ... 601_fr.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: tuvutqo - C:\WINDOWS\SYSTEM32\tuvutqo.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6979 bytes


OTMOVEIT


File move failed. C:\WINDOWS\System32\zffequpjy.exe scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\tuvutqo.dll
C:\WINDOWS\SYSTEM32\tuvutqo.dll NOT unregistered.
File move failed. C:\WINDOWS\SYSTEM32\tuvutqo.dll scheduled to be moved on reboot.
File/Folder C:\nasajplview.exe not found.

Created on 10/11/2006 10:58:27


VUNDOFIX



VundoFix V6.5.11

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 17:25:50 02/10/2006

Listing files found while scanning....

C:\WINDOWS\System32\buoxtvnk.dll
C:\windows\system32\ddcaxwu.dll
C:\WINDOWS\System32\fpdbsyes.ini
C:\windows\system32\jkkkklj.dll
C:\windows\system32\lnqss.bak1
C:\windows\system32\lnqss.bak2
C:\windows\system32\lnqss.ini
C:\windows\system32\pmnooml.dll
C:\windows\system32\qommnkj.dll
C:\WINDOWS\System32\seysbdpf.dll
C:\windows\system32\ssqnl.dll
C:\WINDOWS\System32\tuvutqo.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\buoxtvnk.dll
C:\WINDOWS\System32\buoxtvnk.dll Has been deleted!

Attempting to delete C:\windows\system32\ddcaxwu.dll
C:\windows\system32\ddcaxwu.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\fpdbsyes.ini
C:\WINDOWS\System32\fpdbsyes.ini Has been deleted!

Attempting to delete C:\windows\system32\jkkkklj.dll
C:\windows\system32\jkkkklj.dll Has been deleted!

Attempting to delete C:\windows\system32\lnqss.bak1
C:\windows\system32\lnqss.bak1 Has been deleted!

Attempting to delete C:\windows\system32\lnqss.bak2
C:\windows\system32\lnqss.bak2 Has been deleted!

Attempting to delete C:\windows\system32\lnqss.ini
C:\windows\system32\lnqss.ini Has been deleted!

Attempting to delete C:\windows\system32\pmnooml.dll
C:\windows\system32\pmnooml.dll Has been deleted!

Attempting to delete C:\windows\system32\qommnkj.dll
C:\windows\system32\qommnkj.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\seysbdpf.dll
C:\WINDOWS\System32\seysbdpf.dll Has been deleted!

Attempting to delete C:\windows\system32\ssqnl.dll
C:\windows\system32\ssqnl.dll Has been deleted!

Attempting to delete C:\WINDOWS\System32\tuvutqo.dll
C:\WINDOWS\System32\tuvutqo.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\System32\tuvutqo.dll
C:\WINDOWS\System32\tuvutqo.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.11

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 11:00:54 09/10/2006

Listing files found while scanning....

C:\windows\system32\tuvutqo.dll

Beginning removal...

VundoFix V6.5.11

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Scan started at 11:10:51 09/10/2006

Listing files found while scanning....

C:\windows\system32\tuvutqo.dll

Beginning removal...

Attempting to delete C:\windows\system32\tuvutqo.dll
C:\windows\system32\tuvutqo.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Rq : Pour vundofix une fenêtre est apparue "le texte a été modifié, voulez vous enregistrr la modification" ; je n'avais rien fait ni demandé, j'ai dit non.

Demain je manipule Le PC pour voir le comportement
roumy andre
 
Messages: 107
Inscription: 27 Oct 2007, 15:43

pc infecté sans connexion internet possible

Messagede roumy andre » 12 Nov 2007, 19:42

Bonsoir,

Le fonctionnement de windows paraît normal sauf
- une certaine lenteur por l'affichage du bureau ( notament les residents dans la barre des tâches, en bas, à droite )
- le graveur m'a refusé de graver sur des CDs sur lesquels il l'avait déja fait ( 2 fois, ..je ne sais si celà peut provenir de la contamination.. )
- zffequpjy.exe m'embête avec son message " il n'y a pas de CD (dans le graveur même s'il y en a) et insiste même si je passe en revue toutes ses options de réponses.
roumy andre
 
Messages: 107
Inscription: 27 Oct 2007, 15:43

pc infecté sans connexion internet possible

Messagede roumy andre » 20 Nov 2007, 11:20

Que se passe-t-il nickW ai-je oublié quelque chose ? Quel est le bilan?
roumy andre
 
Messages: 107
Inscription: 27 Oct 2007, 15:43

Messagede nickW » 21 Nov 2007, 01:07

Bonsoir,

Nouvelles manips:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.



1- Fichiers à télécharger sur le PC "connecté"

Télécharger la nouvelle version de Vundofix.exe depuis: http://www.atribune.org/ccount/click.php?id=4

Télécharger The Avenger depuis http://swandog46.geekstogo.com/avenger.zip

Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe


2- Manips à effectuer sur le PC "connecté"

Étape 1: Création du fichier aven1.txt
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven1.txt puis fermer le Bloc-notes.

Code: Tout sélectionner
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{733E9132-53CA-4C97-9AC9-145C4502FA20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA41A037-3359-4556-A257-8183E6DD5CBE}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvutqo

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | china
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Log System

Files to Delete:
C:\WINDOWS\System32\tuvutqo.dll
C:\WINDOWS\System32\zffequpjy.exe


Note: Le code ci-dessus a été créé exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 2: Création du fichier reparlsa.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de reparlsa.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00



Fermer le Bloc-notes.



3- Créer un CD de transfert vers le PC "malade" contenant les fichiers:

Vundofix.exe
avenger.zip
dss.exe
aven1.txt
reparlsa.reg


4- Manips à effectuer sur le PC "malade"

Étape 1: Deckard's System Scanner (DSS) (de Deckard)
Placer le fichier dss.exe (via transfert depuis le PC "connecté") sur le Bureau.


Étape 2: VundoFix (de Atribune)
Supprimer le fichier Vundofix.exe situé sur le Bureau du PC "malade".
Placer le nouveau fichier Vundofix.exe (via transfert depuis le PC "connecté") sur le Bureau.


Étape 3: The Avenger (de Swandog46), téléchargement
Placer le fichier avenger.zip (via transfert depuis le PC "connecté") sur le Bureau.
Extraire de l'archive Avenger.zip le fichier avenger.exe et le placer sur le Bureau.


Étape 4: Utilisation du fichier reparlsa.reg
Placer le fichier reparlsa.reg (via transfert depuis le PC "connecté") sur le Bureau.
Faire un clic droit sur reparlsa.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 5: VundoFix (de Atribune)
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".



Étape 6: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Sous "Script file to execute" choisir "Load script from file:".
Puis cliquer sur le bouton représentant un dossier jaune, ce qui va ouvrir une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven1.txt
Ensuite cliquer sur le bouton représentant un feu vert pour lancer l'exécution du script.
Répondre "Oui/Yes" deux fois quand demandé.
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 7: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (3 fois).
Lorsque l'outil a terminé le balayage, deux fichiers texte vont s'ouvrir dans le Bloc-notes:
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
Fermer ces deux fenêtres du Bloc-notes.


5- Créer un CD de transfert vers le PC "connecté" contenant les fichiers:

C:\avenger.txt
C:\vundofix.txt
main.txt situé dans le dossier C:\Deckard\System Scanner


6- Envoyer en réponse:

*- le rapport de The Avenger (contenu du fichier C:\avenger.txt)
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)
*- un seul des deux rapports de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier C:\Deckard\System Scanner).


Question subsidiaire: comment se comporte le PC "malade"?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités