[OK] problème de trojan vundo dpq

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] problème de trojan vundo dpq

Messagede fredericc » 16 Nov 2007, 19:14

Bonjour,

Désolé de poster un poste pour un sujet ayant déjà été abbordé.

J'ai un trojan vundo que je n'arrive pas a supprimer, j'ai effectué les scans de Hijack et de Navilog comme déjà suggéré pour ce problème. Je suis bloqué et j'ai peur de supprimé quelque chose de système.

Voici mes scan:
- Hijack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:12, on 16/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.f265.mail.yahoo.com/ym/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.f265.mail.yahoo.com/ym/*http: ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winlsd.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SysApp - {4AE2A9A0-DC33-4C27-B521-5B6C68C1C53D} - C:\Program Files\ApplePie\ie-improver.dll
O2 - BHO: sys-addon - {4CF7C596-C8FF-41d5-88A5-0F1A1A92DDE1} - C:\Program Files\sys-addon\sys-addon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O2 - BHO: (no name) - {E97306CB-B515-4D84-BE55-5373C4AF10DA} - C:\WINDOWS\system32\awvts.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [c0d6f234] rundll32.exe "C:\WINDOWS\system32\fjfreoks.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: 123 Free Solitaire Help.lnk = C:\Program Files\123 Free Solitaire\SolSuite.hlp
O4 - Startup: 123 Free Solitaire Web Site.lnk = C:\Program Files\123 Free Solitaire\123 Free Solitaire Web Site.url
O4 - Startup: BitDefender Antivirus v10.lnk = C:\Program Files\Softwin\BitDefender10\bdmcon.exe
O4 - Startup: Try SolSuite 2006 for FREE.lnk = C:\Program Files\123 Free Solitaire\Try SolSuite 2006 for FREE.url
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O21 - SSODL: SvcSys - {77A44E7D-7591-483D-AFC5-D1B02D647C2F} - svcsys.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9476 bytes


Navilog

Search Navipromo version 3.3.6 commencé le 16/11/2007 à 18:24:16,96

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spéblurpte !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\xxx\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\XXX\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\XXX\LOCALS~1\APPLIC~1 *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:
C:\WINDOWS\system32\stvwa.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\stvwa.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\stvwa.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 16/11/2007 à 18:25:51,31 ***

--------------

merci d'avance si vous saurriez me dire quoi faire, ça serrait super sympa
fredericc
 
Messages: 8
Inscription: 16 Nov 2007, 18:34

Messagede nickW » 17 Nov 2007, 18:22

Bonjour,

Infection par Vundo, Troj/BHO-DV, Backdoor.Win32.Agent.bdq


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 5).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.


Étape 3: Ccleaner
Télécharger et installer Ccleaner Basic dans un dossier spécifique, par exemple C:\ccleaner
http://www.ccleaner.com/download/builds

Attention!
Ccleaner Basic n'existe pas encore pour la nouvelle version 2.02.527
Il faut donc télécharger la version "Standard", mais refuser l'installation de la Barre d'outils Yahoo!

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 4: AVG Anti-Spyware
Télécharger la version d'essai de AVG Anti-Spyware depuis http://www.ewido.net/en/download/
L'installer.

Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Ne pas générer automatiquement de rapport est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 5: VundoFix (de Atribune)
Télécharger VundoFix.exe depuis:
http://www.atribune.org/ccount/click.php?id=4
Enregistrer le fichier sur le Bureau.
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe
Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".



Étape 6: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8.
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 7: Désinstallation
Démarrer-->Paramètres-->Panneau de Configuration-->Ajout/Suppression de programmes
Rechercher et désinstaller (si trouvé) Registry Cleaner

C'est un faux utilitaire de sécurité
Voir: http://assiste.com.free.fr/p/craptheque ... eaner.html


Étape 8: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked:
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O2 - BHO: SysApp - {4AE2A9A0-DC33-4C27-B521-5B6C68C1C53D} - C:\Program Files\ApplePie\ie-improver.dll
O2 - BHO: sys-addon - {4CF7C596-C8FF-41d5-88A5-0F1A1A92DDE1} - C:\Program Files\sys-addon\sys-addon.dll
O2 - BHO: (no name) - {E97306CB-B515-4D84-BE55-5373C4AF10DA} - C:\WINDOWS\system32\awvts.dll
O4 - HKLM\..\Run: [c0d6f234] rundll32.exe "C:\WINDOWS\system32\fjfreoks.dll",b
O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe"
O21 - SSODL: SvcSys - {77A44E7D-7591-483D-AFC5-D1B02D647C2F} - svcsys.dll (file missing)

Fermer HijackThis.


Étape 9: DLLs
Désenregistrer une DLL (si cela est possible), puis la renommer:

Démarrer--->Exécuter--->taper
regsvr32.exe¤/u¤"C:\Program Files\ApplePie\ie-improver.dll"
(le caractère ¤ représente un espace)
puis cliquer sur OK
Renommer le fichier C:\Program Files\ApplePie\ie-improver.dll en ie-improver.dll.non

Faire de même avec "C:\Program Files\sys-addon\sys-addon.dll" (à renommer en sys-addon.dll.non)


Étape 10: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite, Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 11: Renommage
Note 1: certains éléments seront peut-être absents, les noter et les signaler en réponse, après la fin de l'ensemble des étapes
Note 2: une dizaine de jours après la désinfection, après avoir vérifié que tous tes programmes fonctionnent correctement, ces dossiers/fichiers ainsi renommés pourront être définitivement supprimés.

Renommer (clic droit sur le nom du dossier) les dossiers ci-dessous en ajoutant .non derrière leur nom:
C:\Program Files\ApplePie (à renommer en ApplePie.non)
C:\Program Files\sys-addon (à renommer en sys-addon.non)


Étape 12: Redémarrage
Redémarrer en mode normal.


Étape 13: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes, pas de connexion Internet active.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (3 fois).
Lorsque l'outil a terminé le balayage, deux fichiers texte vont s'ouvrir dans le Bloc-notes:
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
Fermer ces deux fenêtres du Bloc-notes.


Étape 14: Résultats
Envoyer en réponse:
*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 10
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)
*- un des deux rapports de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede fredericc » 18 Nov 2007, 08:03

Bonjour,

Merci de votre réponse et de cette aide :) J’ai effectué les étapes, mon pc semble avoir retrouvé une vitesse quasi normale.

Juste quelques petits « problèmes » durant les opérations

- Étape 5: VundoFix : il n’a trouvé aucun virus
- Étape 9: DLLs je n’ai pas réussi a désenregistré et renommé
- Mon anti-virus (bitDefender) m’as signalé un adware.virtumod.ghm et trojan.generic.77280 pendant le scan de AVG

Présentement, mon anti-virus me mets toujours que je suis infecté par le Tundo, ma connexion a quasi retrouvée sa vitesse d’avant, mis à part un démarrage très long .


Voici les rapports demandés :


*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 10

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 23:35:25 17/11/2007

+ Résultat de l'analyse:



C:\Documents and Settings\xxx\Application Data\Registry Cleaner -> Adware.RogueSuspect : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\xxx\Application Data\Registry Cleaner\Backups -> Adware.RogueSuspect : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\xxx\Application Data\Registry Cleaner\Backups\2006-04-09,11-56 49 109.zip -> Adware.RogueSuspect : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\xxx\Application Data\Registry Cleaner\Backups\2006-04-09,11-59 46 921.zip -> Adware.RogueSuspect : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\xxx\Application Data\Registry Cleaner\RegClean.ini -> Adware.RogueSuspect : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\xxx\Cookies\xxx@media.adrevolver[1].txt -> TrackingCookie.Adrevolver : Nettoyé.
C:\Documents and Settings\xxx\Cookies\xxx@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\xxx\Cookies\xxx@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\xxx\Cookies\xxx@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\xxx\Cookies\xxx@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\xxx\Cookies\xxx@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.


Fin du rapport



*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)



Beginning removal...

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 21:36:16 17/11/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...



*- un rapport de Deckard's System Scanner (contenu du fichier main.txt )



Deckard's System Scanner v20071014.68
Run by xxx on 2007-11-17 23:51:55
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 3 Restore Point(s) --
3: 2007-11-17 22:52:07 UTC - RP68 - Deckard's System Scanner Restore Point
2: 2007-11-15 12:49:57 UTC - RP67 - Software Distribution Service 3.0
1: 2007-11-14 07:09:42 UTC - RP66 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as xxx.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:53:57, on 17/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.f265.mail.yahoo.com/ym/login? ... m8pfmh1e7n
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/fr-be/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winlsd.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {8F90515E-3590-4405-9E4A-2DB0393E5509} - C:\WINDOWS\system32\awvts.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: 123 Free Solitaire Help.lnk = C:\Program Files\123 Free Solitaire\SolSuite.hlp
O4 - Startup: 123 Free Solitaire Web Site.lnk = C:\Program Files\123 Free Solitaire\123 Free Solitaire Web Site.url
O4 - Startup: BitDefender Antivirus v10.lnk = C:\Program Files\Softwin\BitDefender10\bdmcon.exe
O4 - Startup: Try SolSuite 2006 for FREE.lnk = C:\Program Files\123 Free Solitaire\Try SolSuite 2006 for FREE.url
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8242 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20071116-131000-227 O2 - BHO: (no name) - {8512A668-98A9-43CB-A31A-8A096F70D13C} - C:\WINDOWS\system32\awvts.dll
backup-20071116-132431-159 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
backup-20071116-132431-794 O2 - BHO: (no name) - {8512A668-98A9-43CB-A31A-8A096F70D13C} - C:\WINDOWS\system32\awvts.dll
backup-20071116-132633-638 O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
backup-20071116-135244-233 O2 - BHO: (no name) - {50A0ED68-3773-4B35-BD43-B2EB9C2713BC} - C:\WINDOWS\system32\awvts.dll
backup-20071116-135410-875 O2 - BHO: (no name) - {50A0ED68-3773-4B35-BD43-B2EB9C2713BC} - C:\WINDOWS\system32\awvts.dll
backup-20071116-135556-513 O2 - BHO: (no name) - {50A0ED68-3773-4B35-BD43-B2EB9C2713BC} - C:\WINDOWS\system32\awvts.dll
backup-20071116-135840-335 O2 - BHO: (no name) - {50A0ED68-3773-4B35-BD43-B2EB9C2713BC} - C:\WINDOWS\system32\awvts.dll
backup-20071116-140049-144 O2 - BHO: (no name) - {50A0ED68-3773-4B35-BD43-B2EB9C2713BC} - C:\WINDOWS\system32\awvts.dll
backup-20071116-172014-703 O2 - BHO: (no name) - {82BD5759-ED2A-4670-84FB-A152A86DD579} - C:\WINDOWS\system32\awvts.dll
backup-20071116-172122-830 O2 - BHO: (no name) - {82BD5759-ED2A-4670-84FB-A152A86DD579} - C:\WINDOWS\system32\awvts.dll
backup-20071116-172307-150 O2 - BHO: (no name) - {82BD5759-ED2A-4670-84FB-A152A86DD579} - C:\WINDOWS\system32\awvts.dll
backup-20071116-173102-221 O2 - BHO: (no name) - {82BD5759-ED2A-4670-84FB-A152A86DD579} - C:\WINDOWS\system32\awvts.dll
backup-20071116-173801-118 O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
backup-20071116-173801-399 O4 - Global Startup: Adobe Streamline 4.0.lnk = C:\Adobe\Streamline 4.0\Streamline.exe
backup-20071116-173802-183 O4 - Global Startup: Désinstaller Streamline 4.0.lnk = C:\WINDOWS\unin040c.exe
backup-20071116-173802-197 O4 - Global Startup: LisezMoi Adobe Streamline 4.0.lnk = ?
backup-20071116-173802-226 O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll (file missing)
backup-20071116-173802-499 O4 - Global Startup: Enregistrer Streamline 4.0.lnk = C:\Adobe\Streamline 4.0\REGISTER\REGISTER.EXE
backup-20071116-175718-331 O2 - BHO: (no name) - {82BD5759-ED2A-4670-84FB-A152A86DD579} - C:\WINDOWS\system32\awvts.dll
backup-20071117-220934-148 O2 - BHO: (no name) - {32F2AF76-64CE-4083-892F-90688B7B2641} - C:\WINDOWS\system32\awvts.dll
backup-20071117-220934-534 O2 - BHO: SysApp - {4AE2A9A0-DC33-4C27-B521-5B6C68C1C53D} - C:\Program Files\ApplePie\ie-improver.dll
backup-20071117-220938-930 O2 - BHO: sys-addon - {4CF7C596-C8FF-41d5-88A5-0F1A1A92DDE1} - C:\Program Files\sys-addon\sys-addon.dll
backup-20071117-220940-239 O4 - HKLM\..\Run: [c0d6f234] rundll32.exe "C:\WINDOWS\system32\fjfreoks.dll",b
backup-20071117-220940-737 O21 - SSODL: SvcSys - {77A44E7D-7591-483D-AFC5-D1B02D647C2F} - svcsys.dll (file missing)
backup-20071117-220940-876 O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\RegClean.exe"

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - C:\WINDOWS\rundll32.exe shell32.dll,Control_RunDLL "%1",%*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not>
R1 bdpredir - c:\program files\softwin\bitdefender10\bdpredir.sys <Not>
R1 cdrbsdrv - c:\windows\system32\drivers\cdrbsdrv.sys <Not Verified; B.H.A Corporation; B's Recorder GOLD7>
R2 CdaC15BA - c:\windows\system32\drivers\cdac15ba.sys <Not>
R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 C-DillaCdaC11BA - c:\windows\system32\drivers\cdac11ba.exe <Not>

S4 Boonty Games - "c:\program files\fichiers communs\boonty shared\service\boonty.exe" <Not>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2007-10-17 and 2007-11-17 -----------------------------

2007-11-17 23:41:29 0 dr-h----- C:\Documents and Settings\xxx\Recent
2007-11-17 21:36:16 0 d-------- C:\VundoFix Backups
2007-11-17 21:28:46 0 d-------- C:\Documents and Settings\xxx\Application Data\Grisoft
2007-11-17 21:26:55 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-17 20:43:32 0 d-------- C:\Program Files\CCleaner
2007-11-17 20:28:17 0 d-------- C:\Inetpub
2007-11-17 20:28:16 0 d-------- C:\WINDOWS\system32\Logfiles
2007-11-17 19:58:06 100490 ---hs---- C:\WINDOWS\system32\stvwa.ini2
2007-11-16 18:21:50 0 d-------- C:\Program Files\Navilog1
2007-11-16 13:04:56 0 d-------- C:\Program Files\Trend Micro
2007-11-15 16:52:25 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2007-11-15 16:52:25 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2007-11-15 16:52:25 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2007-11-15 16:52:25 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2007-11-15 16:52:25 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2007-11-15 16:52:25 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-15 16:52:24 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2007-11-15 16:52:24 262144 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-15 16:52:24 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-15 16:52:24 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-15 13:52:50 0 d-------- C:\Program Files\MSXML 4.0
2007-11-15 13:50:20 0 d-------- C:\WINDOWS\system32\DllCache
2007-11-13 18:35:41 0 d-------- C:\WINDOWS\BDOSCAN8
2007-11-11 11:48:50 88128 --a------ C:\WINDOWS\system32\fjfreoks.dll
2007-11-11 11:48:32 997 --a------ C:\WINDOWS\system32\euxmwvel.dll
2007-11-10 13:46:05 0 d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-11-07 22:25:16 0 d-------- C:\Program Files\Alwil Software
2007-11-04 23:52:53 15 --a------ C:\WINDOWS\system32\c0d6e0ba
2007-11-04 18:08:25 104652 ---hs---- C:\WINDOWS\system32\stvwa.bak2
2007-11-03 21:45:10 6465 -----n--- C:\WINDOWS\system32\stvwa.bak1
2007-11-03 21:44:56 6029312 --a------ C:\Documents and Settings\xxx\ntuser.dat
2007-11-03 21:43:51 317024 --a------ C:\WINDOWS\system32\awvts.dll
2007-11-03 21:38:52 145929 --a------ C:\WINDOWS\system32\sysdl132.exe
2007-11-03 21:38:52 0 d--h----- C:\Program Files\ApplePie.non


-- Find3M Report ---------------------------------------------------------------

2007-11-17 23:49:48 81984 --a------ C:\WINDOWS\system32\bdod.bin
2007-11-17 23:35:19 0 d-------- C:\Documents and Settings\xxx\Application Data\Registry Cleaner
2007-11-17 22:10:02 0 d--h----- C:\Program Files\sys-addon.non
2007-11-17 21:13:17 458230 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-11-17 21:13:16 71248 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-10-30 10:10:09 0 d--h----- C:\Program Files\InstallShield Installation Information
2007-09-29 19:23:56 8192 --a------ C:\sysxxte.exe
2007-09-29 16:40:32 8192 --a------ C:\syswlcb.exe
2007-09-29 14:57:47 8192 --a------ C:\sysquur.exe
2007-09-29 14:57:32 8192 --a------ C:\syskihk.exe
2007-09-29 14:57:01 8192 --a------ C:\syswvmm.exe
2007-09-26 15:20:42 304160 --a------ C:\StiImg.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8F90515E-3590-4405-9E4A-2DB0393E5509}]
03/11/2007 21:43 317024 --a------ C:\WINDOWS\system32\awvts.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [10/04/2006 19:36]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [30/08/2005 20:05]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [25/06/2003 10:24]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [23/10/2003 18:51]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [28/07/2003 14:43]
"DeviceDiscovery"="C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [21/05/2003 17:37]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [24/01/2005 18:58]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [25/10/2006 18:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [30/10/2006 09:36]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" [15/12/2006 03:23]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [17/04/2007 13:50]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [04/04/2007 14:03]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 19:09]
"LClock"="lclock.exe" [08/12/2004 18:06 C:\WINDOWS\LClock.exe]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 11:55]
"Totocam"="" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"LSD_III"=%systemroot%\LSD\end.cmd
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoLowDiskSpaceChecks"=1 (0x1)
"ClearRecentDocsOnExit"=64 (0x40)
"NoSMBalloonTip"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\awvts.dll




-- End of Deckard's System Scanner: finished at 2007-11-18 00:01:13 ------------


Encore merci pour votre aide :)


Bonne journée
fredericc
 
Messages: 8
Inscription: 16 Nov 2007, 18:34

Messagede nickW » 18 Nov 2007, 12:46

Bonjour,

Nouvelle utilisation de VundoFix, mais avec une petite variante :wink:


Étape 1: VundoFix (de Atribune)
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe

Faire un clic droit dans la zone blanche de la fenêtre de VundoFix
Une nouvelle fenêtre va s'ouvrir
Sous "Paste files into the boxes below"
*- saisir exactement dans la première ligne C:\WINDOWS\system32\awvts.dll puis cliquer sur le bouton Add File(s)
*- saisir exactement dans la deuxième ligne C:\WINDOWS\system32\stvwa.* puis cliquer sur le bouton Add File(s)

ensuite cliquer sur le bouton Close Window

Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".



Étape 2: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes, pas de connexion Internet active.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (3 fois).
Lorsque l'outil a terminé le balayage, deux fichiers texte vont s'ouvrir dans le Bloc-notes:
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
Fermer ces deux fenêtres du Bloc-notes.


Étape 3: Résultats
Envoyer en réponse:
*- un nouveau log HijackThis
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)
*- un des deux rapports de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede fredericc » 18 Nov 2007, 18:51

Re-bonjour,

J’ai refais le scan VundoFix comme demandé en y insérant les deux lignes, mais le scan n’as rien trouvé… et rien "remove"

Quand j’ouvre c : \ mon anti-virus (bitdefender) me signale +- 5 virus détecté à cet emplacement (extension .exe.)

Et ma connexion internet fonctionne présentement presque a la vitesse normale


Encore merci pour votre aide :)
Bonne soirée ou bonne journée selon ;-)


- Le log Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:32, on 18/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.f265.mail.yahoo.com/ym/login? ... m8pfmh1e7n
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/fr-be/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winlsd.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O2 - BHO: (no name) - {D7733389-34BD-4AE9-9BD3-1FE46E00E3D8} - C:\WINDOWS\system32\awvts.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: 123 Free Solitaire Help.lnk = C:\Program Files\123 Free Solitaire\SolSuite.hlp
O4 - Startup: 123 Free Solitaire Web Site.lnk = C:\Program Files\123 Free Solitaire\123 Free Solitaire Web Site.url
O4 - Startup: BitDefender Antivirus v10.lnk = C:\Program Files\Softwin\BitDefender10\bdmcon.exe
O4 - Startup: Try SolSuite 2006 for FREE.lnk = C:\Program Files\123 Free Solitaire\Try SolSuite 2006 for FREE.url
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8242 bytes


- Rapport Vundo :




VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 18:11:06 18/11/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 18:23:18 18/11/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...

- Rapport Main.txt de Deckard :


Deckard's System Scanner v20071014.68
Run by xxx on 2007-11-18 18:35:50
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as xxx.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:36:14, on 18/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.f265.mail.yahoo.com/ym/login? ... m8pfmh1e7n
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/fr-be/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winlsd.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O2 - BHO: (no name) - {D7733389-34BD-4AE9-9BD3-1FE46E00E3D8} - C:\WINDOWS\system32\awvts.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: 123 Free Solitaire Help.lnk = C:\Program Files\123 Free Solitaire\SolSuite.hlp
O4 - Startup: 123 Free Solitaire Web Site.lnk = C:\Program Files\123 Free Solitaire\123 Free Solitaire Web Site.url
O4 - Startup: BitDefender Antivirus v10.lnk = C:\Program Files\Softwin\BitDefender10\bdmcon.exe
O4 - Startup: Try SolSuite 2006 for FREE.lnk = C:\Program Files\123 Free Solitaire\Try SolSuite 2006 for FREE.url
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8242 bytes

-- Files created between 2007-10-18 and 2007-11-18 -----------------------------

2007-11-18 08:25:51 0 dr-h----- C:\Documents and Settings\xxx\Recent
2007-11-17 21:36:16 0 d-------- C:\VundoFix Backups
2007-11-17 21:28:46 0 d-------- C:\Documents and Settings\xxx\Application Data\Grisoft
2007-11-17 21:26:55 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-17 20:43:32 0 d-------- C:\Program Files\CCleaner
2007-11-17 20:28:17 0 d-------- C:\Inetpub
2007-11-17 20:28:16 0 d-------- C:\WINDOWS\system32\Logfiles
2007-11-17 19:58:06 100523 ---hs---- C:\WINDOWS\system32\stvwa.ini2
2007-11-16 18:21:50 0 d-------- C:\Program Files\Navilog1
2007-11-16 13:04:56 0 d-------- C:\Program Files\Trend Micro
2007-11-15 16:52:25 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2007-11-15 16:52:25 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2007-11-15 16:52:25 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2007-11-15 16:52:25 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2007-11-15 16:52:25 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2007-11-15 16:52:25 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-15 16:52:24 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2007-11-15 16:52:24 262144 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-15 16:52:24 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-15 16:52:24 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-15 13:52:50 0 d-------- C:\Program Files\MSXML 4.0
2007-11-15 13:50:20 0 d-------- C:\WINDOWS\system32\DllCache
2007-11-13 18:35:41 0 d-------- C:\WINDOWS\BDOSCAN8
2007-11-11 11:48:50 88128 --a------ C:\WINDOWS\system32\fjfreoks.dll
2007-11-11 11:48:32 997 --a------ C:\WINDOWS\system32\euxmwvel.dll
2007-11-10 13:46:05 0 d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-11-07 22:25:16 0 d-------- C:\Program Files\Alwil Software
2007-11-04 23:52:53 15 --a------ C:\WINDOWS\system32\c0d6e0ba
2007-11-04 18:08:25 104652 ---hs---- C:\WINDOWS\system32\stvwa.bak2
2007-11-03 21:45:10 6465 -----n--- C:\WINDOWS\system32\stvwa.bak1
2007-11-03 21:44:56 6029312 --a------ C:\Documents and Settings\xxx\ntuser.dat
2007-11-03 21:43:51 317024 --a------ C:\WINDOWS\system32\awvts.dll
2007-11-03 21:38:52 145929 --a------ C:\WINDOWS\system32\sysdl132.exe
2007-11-03 21:38:52 0 d--h----- C:\Program Files\ApplePie.non


-- Find3M Report ---------------------------------------------------------------

2007-11-18 18:35:39 81984 --a------ C:\WINDOWS\system32\bdod.bin
2007-11-17 23:35:19 0 d-------- C:\Documents and Settings\xxx\Application Data\Registry Cleaner
2007-11-17 22:10:02 0 d--h----- C:\Program Files\sys-addon.non
2007-11-17 21:13:17 458230 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-11-17 21:13:16 71248 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-10-30 10:10:09 0 d--h----- C:\Program Files\InstallShield Installation Information
2007-09-29 19:23:56 8192 --a------ C:\sysxxte.exe
2007-09-29 16:40:32 8192 --a------ C:\syswlcb.exe
2007-09-29 14:57:47 8192 --a------ C:\sysquur.exe
2007-09-29 14:57:32 8192 --a------ C:\syskihk.exe
2007-09-29 14:57:01 8192 --a------ C:\syswvmm.exe
2007-09-26 15:20:42 304160 --a------ C:\StiImg.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D7733389-34BD-4AE9-9BD3-1FE46E00E3D8}]
03/11/2007 21:43 317024 --a------ C:\WINDOWS\system32\awvts.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [10/04/2006 19:36]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [30/08/2005 20:05]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [25/06/2003 10:24]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [23/10/2003 18:51]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [28/07/2003 14:43]
"DeviceDiscovery"="C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [21/05/2003 17:37]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [24/01/2005 18:58]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [25/10/2006 18:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [30/10/2006 09:36]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" [15/12/2006 03:23]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [17/04/2007 13:50]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [04/04/2007 14:03]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 19:09]
"LClock"="lclock.exe" [08/12/2004 18:06 C:\WINDOWS\LClock.exe]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 11:55]
"Totocam"="" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"LSD_III"=%systemroot%\LSD\end.cmd
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoLowDiskSpaceChecks"=1 (0x1)
"ClearRecentDocsOnExit"=64 (0x40)
"NoSMBalloonTip"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\awvts.dll




-- End of Deckard's System Scanner: finished at 2007-11-18 18:42:46 ------------
fredericc
 
Messages: 8
Inscription: 16 Nov 2007, 18:34

Messagede nickW » 19 Nov 2007, 00:06

Bonsoir,

Pourrais-tu me donner les noms des fichiers détectés comme infectés (avec le nom du nuisible)?


Nouveaux nettoyages:

Étape 1: OTMoveIt (de OldTimer)
Télécharger OTMoveIt via un clic droit sur le lien ci-dessous:
http://download.bleepingcomputer.com/ol ... MoveIt.exe
Enregistrer le fichier sur le Bureau.

Faire un double clic sur OTMoveIt.exe pour lancer l'outil.
Sélectionner toutes les lignes de la zone Code ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
C:\WINDOWS\system32\stvwa.ini2
C:\WINDOWS\system32\fjfreoks.dll
C:\WINDOWS\system32\euxmwvel.dll
C:\WINDOWS\system32\stvwa.bak2
C:\WINDOWS\system32\stvwa.bak1
C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\sysdl132.exe


Retourner dans la fenêtre de OTMoveIt, faire un clic droit dans la fenêtre de gauche nommée "Paste List of Files/Folders to be moved" et choisir Coller.
Cliquer sur le bouton MoveIt!
Attendre la fin du travail de l'outil puis fermer OTMoveIt.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 2: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes, pas de connexion Internet active.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (3 fois).
Lorsque l'outil a terminé le balayage, deux fichiers texte vont s'ouvrir dans le Bloc-notes:
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
Fermer ces deux fenêtres du Bloc-notes.

Étape 3: Résultats
Envoyer en réponse:
*- le rapport de OTMoveIt (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
*- un des deux rapports de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier C:\Deckard\System Scanner).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede fredericc » 19 Nov 2007, 10:18

Bonjour,

Encore merci pour cette aide :)


- Les fichiers qui sont détectés comme par mon Bitdefender comme étant infecté lorsque j’ouvre le c: \ (tous trojan generic.77280)

Syskihk.exe
Sysquur.exe
Syswlcb.exe
Syswvmn.exe
Sysxxte.exe

Nb : la date de modification de ces fichiers est du 29/09/07, je n’avais jamais rencontré de problèmes dans ces moments là ?

Ainsi que le C:\WINDOWS\system32\awvts.dll (vundo) qui revient a chaque fois que j’ouvre mon pc


- Lors Otmoveit il m’a mis le euwmwel.dll comme « pas une image windows valide »

Voici les deux rapports :



C:\WINDOWS\system32\stvwa.ini2 moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\fjfreoks.dll
C:\WINDOWS\system32\fjfreoks.dll NOT unregistered.
C:\WINDOWS\system32\fjfreoks.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\euxmwvel.dll
C:\WINDOWS\system32\euxmwvel.dll NOT unregistered.
C:\WINDOWS\system32\euxmwvel.dll moved successfully.
C:\WINDOWS\system32\stvwa.bak2 moved successfully.
C:\WINDOWS\system32\stvwa.bak1 moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\awvts.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\awvts.dll scheduled to be moved on reboot.
C:\WINDOWS\system32\sysdl132.exe moved successfully.

Created on 11/19/2007 09:43:50


Deckard's System Scanner v20071014.68
Run by xxx on 2007-11-19 10:02:21
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as xxx.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:02:48, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.f265.mail.yahoo.com/ym/login? ... m8pfmh1e7n
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/fr-be/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winlsd.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0A468CC1-49FC-495B-9473-5F6D99EBE889} - C:\WINDOWS\system32\awvts.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {00b58c41-0feb-578b-d534-1299b033e409} - {904e330b-9921-435d-b875-bef014c85b00} - C:\WINDOWS\system32\dmstyhpk.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [c0d6f234] rundll32.exe "C:\WINDOWS\system32\mvvyedsx.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: 123 Free Solitaire Help.lnk = C:\Program Files\123 Free Solitaire\SolSuite.hlp
O4 - Startup: 123 Free Solitaire Web Site.lnk = C:\Program Files\123 Free Solitaire\123 Free Solitaire Web Site.url
O4 - Startup: BitDefender Antivirus v10.lnk = C:\Program Files\Softwin\BitDefender10\bdmcon.exe
O4 - Startup: Try SolSuite 2006 for FREE.lnk = C:\Program Files\123 Free Solitaire\Try SolSuite 2006 for FREE.url
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8448 bytes

-- Files created between 2007-10-19 and 2007-11-19 -----------------------------

2007-11-19 09:51:25 104652 ---hs---- C:\WINDOWS\system32\stvwa.bak2
2007-11-19 09:44:25 0 dr-h----- C:\Documents and Settings\xxx\Recent
2007-11-19 09:35:10 85056 --a------ C:\WINDOWS\system32\mvvyedsx.dll
2007-11-19 09:32:27 82496 --a------ C:\WINDOWS\system32\dmstyhpk.dll
2007-11-19 09:32:12 997 --a------ C:\WINDOWS\system32\jdytehxb.dll
2007-11-17 21:36:16 0 d-------- C:\VundoFix Backups
2007-11-17 21:28:46 0 d-------- C:\Documents and Settings\xxx\Application Data\Grisoft
2007-11-17 21:26:55 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-17 20:43:32 0 d-------- C:\Program Files\CCleaner
2007-11-17 20:28:17 0 d-------- C:\Inetpub
2007-11-17 20:28:16 0 d-------- C:\WINDOWS\system32\Logfiles
2007-11-17 19:58:06 102437 ---hs---- C:\WINDOWS\system32\stvwa.ini2
2007-11-16 18:21:50 0 d-------- C:\Program Files\Navilog1
2007-11-16 13:04:56 0 d-------- C:\Program Files\Trend Micro
2007-11-15 16:52:25 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2007-11-15 16:52:25 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2007-11-15 16:52:25 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2007-11-15 16:52:25 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2007-11-15 16:52:25 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2007-11-15 16:52:25 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-15 16:52:24 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2007-11-15 16:52:24 262144 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-15 16:52:24 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-15 16:52:24 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-15 13:52:50 0 d-------- C:\Program Files\MSXML 4.0
2007-11-15 13:50:20 0 d-------- C:\WINDOWS\system32\DllCache
2007-11-13 18:35:41 0 d-------- C:\WINDOWS\BDOSCAN8
2007-11-10 13:46:05 0 d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-11-07 22:25:16 0 d-------- C:\Program Files\Alwil Software
2007-11-04 23:52:53 15 --a------ C:\WINDOWS\system32\c0d6e0ba
2007-11-03 21:44:56 6029312 --a------ C:\Documents and Settings\xxx\ntuser.dat
2007-11-03 21:43:51 317024 --a------ C:\WINDOWS\system32\awvts.dll
2007-11-03 21:38:52 0 d--h----- C:\Program Files\ApplePie.non


-- Find3M Report ---------------------------------------------------------------

2007-11-19 09:58:06 81984 --a------ C:\WINDOWS\system32\bdod.bin
2007-11-17 23:35:19 0 d-------- C:\Documents and Settings\xxx\Application Data\Registry Cleaner
2007-11-17 22:10:02 0 d--h----- C:\Program Files\sys-addon.non
2007-11-17 21:13:17 458230 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-11-17 21:13:16 71248 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-10-30 10:10:09 0 d--h----- C:\Program Files\InstallShield Installation Information
2007-09-29 19:23:56 8192 --a------ C:\sysxxte.exe
2007-09-29 16:40:32 8192 --a------ C:\syswlcb.exe
2007-09-29 14:57:47 8192 --a------ C:\sysquur.exe
2007-09-29 14:57:32 8192 --a------ C:\syskihk.exe
2007-09-29 14:57:01 8192 --a------ C:\syswvmm.exe
2007-09-26 15:20:42 304160 --a------ C:\StiImg.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0A468CC1-49FC-495B-9473-5F6D99EBE889}]
03/11/2007 21:43 317024 --a------ C:\WINDOWS\system32\awvts.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{904e330b-9921-435d-b875-bef014c85b00}]
19/11/2007 09:32 82496 --a------ C:\WINDOWS\system32\dmstyhpk.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [10/04/2006 19:36]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [30/08/2005 20:05]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [25/06/2003 10:24]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [23/10/2003 18:51]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [28/07/2003 14:43]
"DeviceDiscovery"="C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [21/05/2003 17:37]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [24/01/2005 18:58]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [25/10/2006 18:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [30/10/2006 09:36]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" [15/12/2006 03:23]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [17/04/2007 13:50]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [04/04/2007 14:03]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 10:25]
"c0d6f234"="C:\WINDOWS\system32\mvvyedsx.dll" [19/11/2007 09:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 19:09]
"LClock"="lclock.exe" [08/12/2004 18:06 C:\WINDOWS\LClock.exe]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 11:55]
"Totocam"="" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"LSD_III"=%systemroot%\LSD\end.cmd
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoLowDiskSpaceChecks"=1 (0x1)
"ClearRecentDocsOnExit"=64 (0x40)
"NoSMBalloonTip"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\awvts.dll




-- End of Deckard's System Scanner: finished at 2007-11-19 10:09:44 ------------



Merci et bonne journée :)
fredericc
 
Messages: 8
Inscription: 16 Nov 2007, 18:34

Messagede nickW » 19 Nov 2007, 23:29

Bonsoir,

Nouvelles manips:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: il va y avoir des redémarrages, et tu n'auras pas accès à Internet).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: The Avenger (de Swandog46), téléchargement
Télécharger The Avenger depuis http://swandog46.geekstogo.com/avenger.zip
Enregistrer ce fichier sur le Bureau.
Extraire de l'archive Avenger.zip le fichier avenger.exe et le placer sur le Bureau.


Étape 2: Création du fichier reparlsa.reg
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de reparlsa.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00



Fermer le Bloc-notes.


Étape 3: Création du fichier aven1.txt
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven1.txt

Code: Tout sélectionner
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0A468CC1-49FC-495B-9473-5F6D99EBE889}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{904e330b-9921-435d-b875-bef014c85b00}

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | c0d6f234

Files to delete:
C:\WINDOWS\system32\stvwa.bak2
C:\WINDOWS\system32\mvvyedsx.dll
C:\WINDOWS\system32\dmstyhpk.dll
C:\WINDOWS\system32\jdytehxb.dll
C:\WINDOWS\system32\stvwa.ini2
C:\WINDOWS\system32\awvts.dll
C:\sysxxte.exe
C:\syswlcb.exe
C:\sysquur.exe
C:\syskihk.exe
C:\syswvmm.exe


Note: Le code ci-dessus a été créé exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 4: Utilisation du fichier reparlsa.reg
Faire un clic droit sur reparlsa.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 5: VundoFix (de Atribune)
Fermer tous les programmes: il va y avoir arrêt du PC.
Lancer le programme en faisant un double clic sur VundoFix.exe

Faire un clic droit dans la zone blanche de la fenêtre de VundoFix
Une nouvelle fenêtre va s'ouvrir
Sous "Paste files into the boxes below"
*- saisir exactement dans la première ligne C:\WINDOWS\system32\awvts.dll puis cliquer sur le bouton Add File(s)
*- saisir exactement dans la deuxième ligne C:\WINDOWS\system32\stvwa.* puis cliquer sur le bouton Add File(s)

ensuite cliquer sur le bouton Close Window

Cliquer sur le bouton Scan for Vundo
Lorsque le balayage (scan) est terminé, cliquer sur le bouton Remove Vundo
S'il y a infection, cliquer sur Yes sur l'invite de demande de suppression de fichiers
Le Bureau va disparaître un moment lors de la suppression des fichiers
Une fenêtre annonce que le PC va redémarrer: cliquer sur OK

Note:
Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer.
Si tel est le cas, l'outil se lancera au prochain redémarrage. Il faut simplement suivre les instructions ci-dessus, à partir de "Cliquer sur le bouton Scan for Vundo".



Étape 6: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Sous "Script file to execute" choisir "Load script from file:".
Puis cliquer sur le bouton représentant un dossier jaune, ce qui va ouvrir une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven1.txt
Ensuite cliquer sur le bouton représentant un feu vert pour lancer l'exécution du script.
Répondre "Oui/Yes" deux fois quand demandé.
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 7: Kaspersky Lab OnLine Scanner
Exécuter une analyse Anti-Virus et Anti-Spyware en ligne via Kaspersky Lab OnLine Scanner.

Ceci doit être réalisé exclusivement avec Internet Explorer.

Aller sur la page http://www.kaspersky.com/kos/eng/partne ... bscan.html
Cliquer sur le bouton "Accept/J'accepte"
Il y a demande d'installation de contrôle(s) ActiveX.
Normalement, IE bloque cette action (bloqueur de fenêtres publicitaires intempestives). Il faut faire un clic droit sur la barre jaune située en haut de la fenêtre et "Accepter temporairement...".
Accepter la licence ("Accept/J'accepte") puis l'installation de contrôle(s) ActiveX ("Installer")
Kaspersky On-line Scanner s'installe et télécharge les définitions de virus (400KB, puis 9 Mo à télécharger).
Sur l'écran de sélection des éléments à analyser, choisir "Poste de travail"
Le scan est lancé. La fenêtre permet de suivre la progression de l'analyse.
Lorsque la fenêtre affiche "The scan is complete", cliquer sur le bouton "Save as text/Sauver en texte" et enregistrer le fichier rapport sous le nom kasper1.txt

NOTE:
S'il y a affichage du message "La licence de Kaspersky On-line Scanner est périmée", aller dans Panneau de configuration---->Ajout/Suppression de programmes puis désinstaller On-Line Scanner. Ensuite, se reconnecter sur le site de Kaspersky pour réessayer.



Étape 8: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes, pas de connexion Internet active.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (3 fois).
Lorsque l'outil a terminé le balayage, deux fichiers texte vont s'ouvrir dans le Bloc-notes:
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
Fermer ces deux fenêtres du Bloc-notes.


Étape 9: Résultats
Envoyer en réponse:
*- le rapport de VundoFix (contenu du fichier C:\vundofix.txt)
*- un des deux rapports de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier C:\Deckard\System Scanner).
*- le rapport du scan en ligne Kaspersky (contenu du fichier kasper1.txt)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede fredericc » 20 Nov 2007, 13:26

Bonjour,

Merci pour cette nouvelles réponse … j’espère ne pas trop vous ennuyé avec ce problème :)

J’ai effectué les étapes, Vundofix n’a une nouvelle fois rien trouvé :(
Par contre, mon bitdefender ne détecte plus rien quand j’ouvre le disque dur :)

Voici les rapports demandés :

le rapport de VundoFix


Beginning removal...

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 11:14:13 20/11/2007

Listing files found while scanning....

No infected files were found.


Beginning removal...


Kaspersky

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Tuesday, November 20, 2007 1:17:38 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 20/11/2007
Kaspersky Anti-Virus database records: 462195
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINDOWS
C:\DOCUME~1\xxx\LOCALS~1\Temp\

Scan Statistics:
Total number of scanned objects: 11383
Number of viruses found: 2
Number of infected objects: 10
Number of suspicious objects: 0
Duration of the scan process: 00:11:04

Infected Object Name / Virus Name / Last Action
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\bdss.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\system32\wvuvusr.dll.vir Infected: Trojan-Downloader.Win32.Small.ddy skipped
C:\WINDOWS\Temp\tmp00000a53\tmp00000000 Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\ipgnebqd.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\kmjdfaqj.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\ljkgbvof.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\lnkpldep.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\nuahhkxy.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\pvivteaw.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\rkvqwocb.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\rqolrimp.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\xwxnyvti.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.aps skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\~DF24B9.tmp Object is locked skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\~DF6C47.tmp Object is locked skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\~DF841A.tmp Object is locked skipped
C:\DOCUME~1\xxx\LOCALS~1\Temp\~DF8C.tmp Object is locked skipped

Scan process completed.


Deckard's System Scanner




Deckard's System Scanner v20071014.68
Run by xxx on 2007-11-20 13:20:11
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as xxx.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:18, on 20/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.f265.mail.yahoo.com/ym/login? ... m8pfmh1e7n
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/fr-be/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winlsd.org/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {05C84154-07C9-498F-956D-F4616B011272} - C:\WINDOWS\system32\awvts.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: 123 Free Solitaire Help.lnk = C:\Program Files\123 Free Solitaire\SolSuite.hlp
O4 - Startup: 123 Free Solitaire Web Site.lnk = C:\Program Files\123 Free Solitaire\123 Free Solitaire Web Site.url
O4 - Startup: BitDefender Antivirus v10.lnk = C:\Program Files\Softwin\BitDefender10\bdmcon.exe
O4 - Startup: Try SolSuite 2006 for FREE.lnk = C:\Program Files\123 Free Solitaire\Try SolSuite 2006 for FREE.url
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Program Files\Sony\MD Simple Burner\NetMDSB.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 8403 bytes

-- Files created between 2007-10-20 and 2007-11-20 -----------------------------

2007-11-20 12:04:41 0 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-11-20 12:04:39 0 d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-20 12:04:38 0 d-------- C:\WINDOWS\LastGood
2007-11-20 11:29:52 0 dr-h----- C:\Documents and Settings\xxx\Recent
2007-11-20 10:58:52 6465 ---hs---- C:\WINDOWS\system32\stvwa.bak1
2007-11-20 09:54:07 677201 ---hs---- C:\WINDOWS\system32\xsdeyvvm.ini2
2007-11-17 21:36:16 0 d-------- C:\VundoFix Backups
2007-11-17 21:28:46 0 d-------- C:\Documents and Settings\xxx\Application Data\Grisoft
2007-11-17 21:26:55 0 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-17 20:43:32 0 d-------- C:\Program Files\CCleaner
2007-11-17 20:28:17 0 d-------- C:\Inetpub
2007-11-17 20:28:16 0 d-------- C:\WINDOWS\system32\Logfiles
2007-11-16 18:21:50 0 d-------- C:\Program Files\Navilog1
2007-11-16 13:04:56 0 d-------- C:\Program Files\Trend Micro
2007-11-15 16:52:25 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2007-11-15 16:52:25 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2007-11-15 16:52:25 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2007-11-15 16:52:25 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2007-11-15 16:52:25 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2007-11-15 16:52:25 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-15 16:52:24 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2007-11-15 16:52:24 262144 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2007-11-15 16:52:24 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-15 16:52:24 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-15 16:52:24 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-15 13:52:50 0 d-------- C:\Program Files\MSXML 4.0
2007-11-15 13:50:20 0 d-------- C:\WINDOWS\system32\DllCache
2007-11-13 18:35:41 0 d-------- C:\WINDOWS\BDOSCAN8
2007-11-10 13:46:05 0 d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-11-07 22:25:16 0 d-------- C:\Program Files\Alwil Software
2007-11-04 23:52:53 15 --a------ C:\WINDOWS\system32\c0d6e0ba
2007-11-03 21:44:56 6029312 --a------ C:\Documents and Settings\xxx\ntuser.dat
2007-11-03 21:38:52 0 d--h----- C:\Program Files\ApplePie.non


-- Find3M Report ---------------------------------------------------------------

2007-11-20 13:17:11 81984 --a------ C:\WINDOWS\system32\bdod.bin
2007-11-17 23:35:19 0 d-------- C:\Documents and Settings\xxx\Application Data\Registry Cleaner
2007-11-17 22:10:02 0 d--h----- C:\Program Files\sys-addon.non
2007-11-17 21:13:17 458230 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-11-17 21:13:16 71248 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-10-30 10:10:09 0 d--h----- C:\Program Files\InstallShield Installation Information
2007-09-26 15:20:42 304160 --a------ C:\StiImg.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05C84154-07C9-498F-956D-F4616B011272}]
C:\WINDOWS\system32\awvts.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [10/04/2006 19:36]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [30/08/2005 20:05]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [25/06/2003 10:24]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [23/10/2003 18:51]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [28/07/2003 14:43]
"DeviceDiscovery"="C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [21/05/2003 17:37]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [24/01/2005 18:58]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [25/10/2006 18:58]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [30/10/2006 09:36]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" [15/12/2006 03:23]
"BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [17/04/2007 13:50]
"BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [04/04/2007 14:03]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 19:09]
"LClock"="lclock.exe" [08/12/2004 18:06 C:\WINDOWS\LClock.exe]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 11:55]
"Totocam"="" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"LSD_III"=%systemroot%\LSD\end.cmd
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoLowDiskSpaceChecks"=1 (0x1)
"ClearRecentDocsOnExit"=64 (0x40)
"NoSMBalloonTip"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\awvts.dll




-- End of Deckard's System Scanner: finished at 2007-11-20 13:21:22 ------------




Bonne journée :)
fredericc
 
Messages: 8
Inscription: 16 Nov 2007, 18:34

Messagede nickW » 22 Nov 2007, 00:57

Bonsoir,

Oups :oops: , j'ai oublié de te demander d'envoyer le log de The Avenger.
Peux-tu l'envoyer en réponse, avant de réaliser les quatre courtes étapes ci-dessous?

As-tu bien effectué les étapes 2 & 4 de mon message précédent? (fichier reparlsa.reg)?
As-tu reçu un message d'erreur?


Étape 1: Création du fichier aven2.txt
Faire un copier/coller des lignes ci-dessous (dans la zone "Code") dans le Bloc-notes (alias Notepad).
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven2.txt

Code: Tout sélectionner
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05C84154-07C9-498F-956D-F4616B011272}

Files to delete:
C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\stvwa.bak1
C:\WINDOWS\system32\xsdeyvvm.ini2


Note: Le code ci-dessus a été créé exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 2: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Sous "Script file to execute" choisir "Load script from file:".
Puis cliquer sur le bouton représentant un dossier jaune, ce qui va ouvrir une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven2.txt
Ensuite cliquer sur le bouton représentant un feu vert pour lancer l'exécution du script.
Répondre "Oui/Yes" deux fois quand demandé.
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 3: Deckard's System Scanner (DSS) (de Deckard)
Fermer toutes les fenêtres de programme ouvertes, pas de connexion Internet active.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (3 fois).
Lorsque l'outil a terminé le balayage, deux fichiers texte vont s'ouvrir dans le Bloc-notes:
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
Fermer ces deux fenêtres du Bloc-notes.


Étape 4: Résultats
Envoyer en réponse:
*- un des deux rapports de Deckard's System Scanner (contenu du fichier main.txt situé dans le dossier C:\Deckard\System Scanner).
*- le rapport de The Avenger (contenu du fichier C:\avenger.txt)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 15 invités