help - je ne supporte plus tous ces programmes intrus

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

help - je ne supporte plus tous ces programmes intrus

Messagede daydan » 29 Oct 2007, 17:24

Bonjour,
je vous envoie mon log hijack- j'espere que vous pourrez m'aider. Je vous remercie.
ps: Je suis sur un Athlon avec windows XP sp2

Logfile of HijackThis v1.99.1
Scan saved at 17:27:47, on 29/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\contrelesmechants\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Prevx2\PXAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\contrelesmechants\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users.WINDOWS\Application Data\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {E0353541-C291-4C0A-83E1-DE879B1396BF} - C:\WINDOWS\system32\ddayx.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\contrelesmechants\avgas.exe" /minimized
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoreflex.com/tools/ImageU ... oader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A520130-83CC-41FB-B1C8-B8755CB06751}: NameServer = 80.10.246.130,80.10.246.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9E85425-92C9-4691-A1EF-B0FD22EAF551}: NameServer = 80.10.246.3,80.10.246.130
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00BEF1A.dat
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\contrelesmechants\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: PREVXAgent - Unknown owner - C:\Program Files\Prevx2\PXAgent.exe" -f (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
daydan
 
Messages: 4
Inscription: 29 Oct 2007, 17:20

Messagede Tesgaz » 29 Oct 2007, 18:45

ne pleures pas la bouche pleine !
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede nickW » 30 Oct 2007, 00:04

Bonsoir,

Comme l'a très bien écrit Tesgaz, tant que tu continueras à utiliser eMule, ton PC sera en danger.

Attention:
Ton PC est infecté par un trojan dangereux, qui vole les mots de passe lors des connexions sur des sites bancaires.
Après le nettoyage, il sera indispensable de modifier ces mots de passe.



Premiers nettoyages:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 6).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: Affichage tous fichiers
Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/download/builds

Attention!
Ccleaner Basic n'existe pas encore pour la nouvelle version 2.01.507
Il faut donc télécharger la version "Standard", mais refuser l'installation de la Barre d'outils Yahoo!

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: AVG Anti-Spyware
Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Ne pas générer automatiquement de rapport est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 4: SDFix (de Andy Manchesta)
Télécharger SDFix.exe depuis http://downloads.andymanchesta.com/Remo ... /SDFix.exe
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur SDFix.exe pour lancer l'extraction de l'outil dans un dossier SDFix placé à la racine de la partition système (par défaut "C:\" ).


Étape 5: clean (de Malekal_morte), Option 1: Recherche
Télécharger clean.zip depuis http://www2.malekal.com/download/clean.zip
Enregistrer ce fichier sur le Bureau.
Décompresser la totalité de cette archive (clic droit sur le fichier clean.zip, puis choisir Extraire tout/Extraire ici)
Note:
pskill.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Pare-feu...) d'où l'alerte émise par ces antivirus.

Dans le cas de SmitfraudFix, il faut le laisser s'exécuter (si nécessaire, arrêter momentanément la protection en temps réel de l'antivirus).[/i]


Étape 6: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système ( C:\ ), et faire un double clic sur RunThis.bat pour lancer l'outil.
Appuyer sur la touche Y pour lancer l'exécution.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour redémarrer.
Appuyer sur n'importe quelle touche pour redémarrer le PC.
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.
Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.
Une fenêtre du Bloc-notes va s'ouvrir, affichant le rapport de SDFix.
Fermer cette fenêtre.


Étape 8: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8.


Étape 9: clean (de Malekal_morte), Option 2: Nettoyage
Ouvrir le dossier clean situé sur le Bureau.
Faire un double clic sur clean.cmd
Dans la fenêtre à fond noir qui s'est ouverte, taper 2 puis faire Entrée.


Étape 10: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite, Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 11: Redémarrage et Résultats
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 10
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)
*- le rapport de clean (contenu du fichier C:\rapport_clean.txt)

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede daydan » 30 Oct 2007, 11:59

Merci pour votre aide. Voici les logs.


SDFix: Version 1.112

Run by Administrateur on 30/10/2007 at 01:01

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
Microsoft Internet Explorer

ImagePath:
C:\WINDOWS\system32\_svchost.exe -A

Microsoft Internet Explorer - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\Program Files\Fichiers communs\Yazzle1162OinUninstaller.exe - Deleted
C:\U.exe - Deleted
C:\WINDOWS\mgrs.exe - Deleted
C:\WINDOWS\system32\drivers\etc\BackupHosts.bak - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted
C:\WINDOWS\wr.txt - Deleted
C:\WINDOWS\xpupdate.exe - Deleted
C:\WINDOWS\system32\ntos.exe - Deleted


Folder C:\Program Files\InetGet2 - Removed
Folder C:\WINDOWS\system32\wsnpoem - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\DOCUME~1\\ADMINI~2\\LOCALS~1\\Temp\\win205.tmp.exe"="C:\\DOCUME~1\\ADMINI~2\\LOCALS~1\\Temp\\win205.tmp.exe:*:Enabled:win205.tmp"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\TEMP\\win783.tmp.exe"="C:\\WINDOWS\\TEMP\\win783.tmp.exe:*:Enabled:win783.tmp"
"C:\\WINDOWS\\system32\\ljlmxret.exe"="C:\\WINDOWS\\system32\\ljl"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Mon 15 Oct 2007 414 ..SH. --- "C:\WINDOWS\system32\cqweeezg.dllbox"
Mon 15 Oct 2007 20,640 ..SH. --- "C:\WINDOWS\system32\gkibaphy.dllbox"
Mon 15 Oct 2007 257,586 ..SH. --- "C:\WINDOWS\system32\xyadd.bak2"
Sun 26 Sep 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 24 Oct 2004 782 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv18.bak"
Sun 29 Apr 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Fri 23 Sep 2005 24,064 A..H. --- "C:\Documents and Settings\dan\My Documents\~WRL0003.tmp"
Thu 28 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sat 21 Jun 2003 377,344 A..H. --- "C:\Program Files\Smart Projects\IsoBuster\Help\AHlp.exe"
Mon 10 Jan 2005 21,504 A..H. --- "C:\Documents and Settings\dan.MISERUM\Application Data\Microsoft\Emulator for Windows CE\VPCKeyboard.dll"
Fri 27 Apr 2007 680,960 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL0004.tmp"
Sat 27 May 2006 790,528 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL0005.tmp"
Mon 8 Jan 2007 635,904 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL0765.tmp"
Mon 8 Jan 2007 633,344 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL1365.tmp"
Sun 28 May 2006 22,016 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL2153.tmp"
Mon 8 Jan 2007 660,992 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL2410.tmp"
Mon 8 Jan 2007 637,952 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL2489.tmp"
Sun 28 May 2006 19,968 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL2732.tmp"
Mon 8 Jan 2007 660,992 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL3888.tmp"
Mon 3 Jul 2006 585,216 A..H. --- "C:\Documents and Settings\Administrateur\Bureau\divers 2007\cl‚ apoline\jano\~WRL4017.tmp"

Finished!


----

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 30/10/2007 a 1:48:56,00

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:
tentative de suppression de C:\StubInstaller.exe

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp
tentative de suppression de C:\WINDOWS\system32\WNSXS~1\

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Adverts\"
tentative de suppression de "C:\Program Files\PokerStars\"
tentative de suppression de "C:\Program Files\Save\"
tentative de suppression de "C:\Program Files\Ultimate Cleaner\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


----


Logfile of HijackThis v1.99.1
Scan saved at 11:54:50, on 30/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\contrelesmechants\avgas.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\contrelesmechants\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Prevx2\PXAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53D4A8FC-0393-4046-8BB2-E7B16043A1CB} - C:\WINDOWS\system32\ddayx.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users.WINDOWS\Application Data\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\contrelesmechants\avgas.exe" /minimized
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoreflex.com/tools/ImageU ... oader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A520130-83CC-41FB-B1C8-B8755CB06751}: NameServer = 80.10.246.130,80.10.246.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9E85425-92C9-4691-A1EF-B0FD22EAF551}: NameServer = 80.10.246.3,80.10.246.130
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00BEF1A.dat
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\contrelesmechants\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PREVXAgent - Unknown owner - C:\Program Files\Prevx2\PXAgent.exe" -f (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

----

Je n'arrive pas à avoir de log d'avg. Il a cependant mis en quarantaine : Downloader.alphabet; Dowloader.purityscan.eg, Trojan.dialer.qn et Adware.Ultimatedefender.

Je remarque cependant que j'ai encore dans la liste des des demarrages automatiques la variable : AppInit_DLLs avec la valeur C:\WINDOWS\system32\__c00BEF1A.dat qui est un fichier que j'arrive pas à supprimer. Par ailleurs quand je supprime cette variable elle reapparait aussitot.



Merci

Logfile of HijackThis v1.99.1
Scan saved at 12:02:50, on 30/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\contrelesmechants\avgas.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\contrelesmechants\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Prevx2\PXAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53D4A8FC-0393-4046-8BB2-E7B16043A1CB} - C:\WINDOWS\system32\ddayx.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users.WINDOWS\Application Data\Prevx\pxbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\contrelesmechants\avgas.exe" /minimized
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoreflex.com/tools/ImageU ... oader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A520130-83CC-41FB-B1C8-B8755CB06751}: NameServer = 80.10.246.130,80.10.246.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9E85425-92C9-4691-A1EF-B0FD22EAF551}: NameServer = 80.10.246.3,80.10.246.130
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00BEF1A.dat
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\contrelesmechants\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PREVXAgent - Unknown owner - C:\Program Files\Prevx2\PXAgent.exe" -f (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
daydan
 
Messages: 4
Inscription: 29 Oct 2007, 17:20

Messagede nickW » 31 Oct 2007, 00:29

Bonsoir,

Suite:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 4).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)


Étape 1: Ccleaner
Dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 2: VundoFix (de Atribune)
Télécharger VundoFix.exe depuis:
http://www.atribune.org/ccount/click.php?id=4
Enregistrer le fichier sur le Bureau.


Étape 3: OTMoveIt (de OldTimer)
Télécharger OTMoveIt via un clic droit sur le lien ci-dessous:
http://download.bleepingcomputer.com/ol ... MoveIt.exe
Enregistrer le fichier sur le Bureau.


Étape 4: Pas de processus de contrôle d'intégrité
Désactiver Prevx (s'il est actif)
Déconnecter physiquement le PC d'internet (débrancher le câble).
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à PREVXAgent
Faire un clic droit dessus et choisir Propriétés
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien C:\Program Files\Prevx2\PXAgent.exe" -f
Dans Statut du service, cliquer sur Arrêter (s'il n'est pas déjà arrêté)
Cliquer sur Appliquer,
Dans Type de démarrage, choisir Désactivé
Cliquer sur Appliquer, puis sur OK


Étape 5: VundoFix (de Atribune)
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".



Étape 6: OTMoveIt (de OldTimer)
Faire un double clic sur OTMoveIt.exe pour lancer l'outil.
Sélectionner toutes les lignes de la zone Code ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
C:\WINDOWS\system32\ljlmxret.exe
C:\WINDOWS\system32\cqweeezg.dllbox
C:\WINDOWS\system32\gkibaphy.dllbox
C:\WINDOWS\system32\xyadd.bak2
C:\WINDOWS\system32\__c00BEF1A.dat
C:\WINDOWS\SYSTEM32\winbfi32.dll


Retourner dans la fenêtre de OTMoveIt, faire un clic droit dans la fenêtre de gauche nommée "Paste List of Files/Folders to be moved" et choisir Coller.
Cliquer sur le bouton MoveIt!
Attendre la fin du travail de l'outil puis fermer OTMoveIt.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 7: Relancer le processus de contrôle d'intégrité
Réactiver Prevx
Démarrer--->Exécuter
Taper services.msc puis cliquer sur OK
Descendre jusqu'à PREVXAgent
Faire un clic droit dessus et choisir Propriétés
Dans Type de démarrage, choisir Automatique
Cliquer sur Appliquer
Dans Statut du service, cliquer sur Démarrer
Cliquer sur Appliquer, puis sur OK
Reconnecter physiquement le PC à internet (rebrancher le câble).


Étape 8: Redémarrage et Résultats
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)
*- le rapport de OTMoveIt (contenu du fichier C:\_OTMoveIt\MovedFiles)

Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede daydan » 01 Nov 2007, 15:17

Bonjour,
Merci pour votre aide. Cependant je suis confronté a deux problemes. Quand je tente de desactiver PREVX au demarrage j'obtient "Acces Refusé". Le logiciel est desactivé, mais pxagent.exe reste dans les processus, impossible a tuer. Par ailleurs lorsque j'essaye de desinstaller prevx apres plusieurs minutes d'attente le prog de desinstallation plante.
Vundofix par ailleurs ne detecte pas de virus. Comment desactiver pxagent?
merci encore

ps: je suis toujours sur compte Administrateur
daydan
 
Messages: 4
Inscription: 29 Oct 2007, 17:20

Messagede daydan » 03 Nov 2007, 17:41

VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 02:43:11 05/05/2007

Listing files found while scanning....

C:\windows\system32\awturqn.dll
C:\windows\system32\ddabx.dll
C:\windows\system32\ditnnfwl.dll
C:\windows\system32\jkkli.dll
C:\windows\system32\mtwpnlkt.exe
C:\WINDOWS\system32\orutv.bak1
C:\WINDOWS\system32\orutv.ini
C:\windows\system32\rqrrrpm.dll
C:\WINDOWS\system32\vturo.dll

Beginning removal...

Attempting to delete C:\windows\system32\awturqn.dll
C:\windows\system32\awturqn.dll Could not be deleted.

Attempting to delete C:\windows\system32\ddabx.dll
C:\windows\system32\ddabx.dll Has been deleted!

Attempting to delete C:\windows\system32\ditnnfwl.dll
C:\windows\system32\ditnnfwl.dll Has been deleted!

Attempting to delete C:\windows\system32\jkkli.dll
C:\windows\system32\jkkli.dll Has been deleted!

Attempting to delete C:\windows\system32\mtwpnlkt.exe
C:\windows\system32\mtwpnlkt.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\orutv.bak1
C:\WINDOWS\system32\orutv.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\orutv.ini
C:\WINDOWS\system32\orutv.ini Has been deleted!

Attempting to delete C:\windows\system32\rqrrrpm.dll
C:\windows\system32\rqrrrpm.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\vturo.dll
C:\WINDOWS\system32\vturo.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\windows\system32\awturqn.dll
C:\windows\system32\awturqn.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 13:51:06 05/05/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 17:38:38 07/05/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 08:58:42 03/10/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 11:07:33 03/10/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 15:11:18 01/11/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.0

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 16:25:51 02/11/2007

Listing files found while scanning....

No infected files were found.


VundoFix V6.5.11

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 16:30:26 02/11/2007

Listing files found while scanning....

C:\windows\system32\aepmwwki.dll
C:\WINDOWS\system32\byxvurr.dll
C:\windows\system32\ddayx.dll
C:\WINDOWS\system32\dnnojhme.dll
C:\windows\system32\drvjolr.dll
C:\windows\system32\drvsuzr.dll
C:\windows\system32\fqlqsrvu.ini
C:\WINDOWS\system32\genakcpo.dll
C:\windows\system32\gfskkuyr.dll
C:\windows\system32\tbsdmqqw.dll
C:\windows\system32\uvrsqlqf.dll
C:\windows\system32\wqqmdsbt.ini
C:\windows\system32\xyadd.ini

Beginning removal...

Attempting to delete C:\windows\system32\aepmwwki.dll
C:\windows\system32\aepmwwki.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\byxvurr.dll
C:\WINDOWS\system32\byxvurr.dll Could not be deleted.

Attempting to delete C:\windows\system32\ddayx.dll
C:\windows\system32\ddayx.dll Has been deleted!

Attempting to delete C:\windows\system32\drvjolr.dll
C:\windows\system32\drvjolr.dll Has been deleted!

Attempting to delete C:\windows\system32\drvsuzr.dll
C:\windows\system32\drvsuzr.dll Has been deleted!

Attempting to delete C:\windows\system32\fqlqsrvu.ini
C:\windows\system32\fqlqsrvu.ini Has been deleted!

Attempting to delete C:\windows\system32\gfskkuyr.dll
C:\windows\system32\gfskkuyr.dll Has been deleted!

Attempting to delete C:\windows\system32\tbsdmqqw.dll
C:\windows\system32\tbsdmqqw.dll Has been deleted!

Attempting to delete C:\windows\system32\uvrsqlqf.dll
C:\windows\system32\uvrsqlqf.dll Has been deleted!

Attempting to delete C:\windows\system32\wqqmdsbt.ini
C:\windows\system32\wqqmdsbt.ini Has been deleted!

Attempting to delete C:\windows\system32\xyadd.ini
C:\windows\system32\xyadd.ini Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\byxvurr.dll
C:\WINDOWS\system32\byxvurr.dll Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.5.11

Checking Java version...

Java version is 1.5.0.4
Old versions of java are exploitable and should be removed.

Scan started at 17:10:39 02/11/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

OT:

File/Folder C:\WINDOWS\system32\ljlmxret.exe not found.
C:\WINDOWS\system32\cqweeezg.dllbox moved successfully.
C:\WINDOWS\system32\gkibaphy.dllbox moved successfully.
C:\WINDOWS\system32\xyadd.bak2 moved successfully.
C:\WINDOWS\system32\__c00BEF1A.dat moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\winbfi32.dll
C:\WINDOWS\SYSTEM32\winbfi32.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\winbfi32.dll moved successfully.

Created on 11/01/2007 15:17:17


et hijack :
Logfile of HijackThis v1.99.1
Scan saved at 17:46:19, on 03/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\contrelesmechants\avgas.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\contrelesmechants\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {58E9AC24-5A2A-4908-9E3B-0633C0F8DF30} - (no file)
O2 - BHO: (no name) - {6F0CACE5-3B4C-4CCE-8AD7-875D1B5AC88E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\contrelesmechants\avgas.exe" /minimized
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoreflex.com/tools/ImageU ... oader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A520130-83CC-41FB-B1C8-B8755CB06751}: NameServer = 80.10.246.130,80.10.246.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9E85425-92C9-4691-A1EF-B0FD22EAF551}: NameServer = 80.10.246.3,80.10.246.130
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00CBF4B.dat
O20 - Winlogon Notify: cbxuuuu - cbxuuuu.dll (file missing)
O20 - Winlogon Notify: genakcpo - genakcpo.dll (file missing)
O20 - Winlogon Notify: winbfi32 - winbfi32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\contrelesmechants\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)



MERCI
daydan
 
Messages: 4
Inscription: 29 Oct 2007, 17:20

Messagede nickW » 04 Nov 2007, 01:25

Bonsoir,

Après désinstallation de Prevx, il n'y a plus ni antivirus, ni pare-feu. :twisted:

Pour l'antivirus:
Gratuit: Avira Antivir Personal Edition Classic
Voir:
http://assiste.com.free.fr/p/logitheque/antivir.html
http://www.free-av.com/antivirclassic/index.html
Autres: voir http://assiste.com.free.fr/p/logitheque ... virus.html

Pour le pare-feu:
Voir ICI et ICI.



Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 3).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Ccleaner
Dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 2: AVG Anti-Spyware
Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Ne pas générer automatiquement de rapport est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 3: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 4: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked:
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O2 - BHO: (no name) - {58E9AC24-5A2A-4908-9E3B-0633C0F8DF30} - (no file)
O2 - BHO: (no name) - {6F0CACE5-3B4C-4CCE-8AD7-875D1B5AC88E} - (no file)
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00CBF4B.dat
O20 - Winlogon Notify: cbxuuuu - cbxuuuu.dll (file missing)
O20 - Winlogon Notify: genakcpo - genakcpo.dll (file missing)
O20 - Winlogon Notify: winbfi32 - winbfi32.dll (file missing)

Fermer HijackThis.


Étape 5: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite, Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 6: Redémarrage et Résultats
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 5

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 22 invités