Virus/Adware : Aide pour analyse svp
Hors lignePipette1110 Le 14/05/2008 à 23:54 Profil de Pipette1110 Configuration de Pipette1110

Bonjour à tous!
J'ai besoin d'un peu d'aide pour résoudre mon problème!
En fait, depuis la semaine passée, un adware s'est installé dans mon pc, sans que je clique sur quoique ce soit (cà c'est bizarre!) et depuis, il ralentit tout mon pc et j'arrive difficilement à aller sur internet car seuls quelques sites restent disponibles...
Le nom de l'adware était "AntiSpyware Master" je pense! Et depuis je le contrôle tant bien que mal avec Spybot mais je suis pas assez douée pour tout arranger...
J'ai fait 3 analyses (Hijackthis, Navilog et Malwarebyte' Anti-Malware) dont voici les résultats:

Logfile of HijackThis v1.99.1
Scan saved at 22:38:32, on 14/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BM63bcc8c8] Rundll32.exe "C:\WINDOWS\system32\pdvxjmbs.dll",s
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA9972] command /c del "C:\WINDOWS\system32\ajtrkdin.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6708] cmd /c del "C:\WINDOWS\system32\ajtrkdin.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA9337] command /c del "C:\WINDOWS\system32\cwlwxvvh.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4357] cmd /c del "C:\WINDOWS\system32\cwlwxvvh.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8393] command /c del "C:\WINDOWS\system32\fgivtmkc.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC6777] cmd /c del "C:\WINDOWS\system32\fgivtmkc.dll_old"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\RunOnce: [SpybotDeletingB8688] command /c del "C:\WINDOWS\system32\ajtrkdin.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4404] cmd /c del "C:\WINDOWS\system32\ajtrkdin.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB3830] command /c del "C:\WINDOWS\system32\cwlwxvvh.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6673] cmd /c del "C:\WINDOWS\system32\cwlwxvvh.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5931] command /c del "C:\WINDOWS\system32\fgivtmkc.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2392] cmd /c del "C:\WINDOWS\system32\fgivtmkc.dll_old"
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

------------------------------------------------------------------------------------------------------------------
Search Navipromo version 3.5.7 commencé le mer. 14/05/2008 à 22:49:51,53

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Aurélie"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudÉ~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Aurélie\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\AURLIE~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\AURE~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Aurélie\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Aurélie\menud+~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Aurélie\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Aurélie\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\ehgiRXyb.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\ehPrCcfe.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\xFMWFfhk.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le mer. 14/05/2008 à 22:56:04,95 ***
-----------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 749

Type de recherche: Examen rapide
Eléments examinés: 36215
Temps écoulé: 12 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 10
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 5
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\khfFWMFx.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\tuvspoMD.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39e310e0-debe-4446-9a0b-6ab4060ed533} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{39e310e0-debe-4446-9a0b-6ab4060ed533} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{944864a5-3916-46e2-96a9-a2e84f3f1208} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6c8ab177-7b09-4f5c-9e6d-82eaa765430c} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{ea3956d2-ec38-41ab-b601-47aa281e4952} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvspomd (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SpybotDeletingB8688 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SpybotDeletingD4404 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SpybotDeletingA9972 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SpybotDeletingC6708 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SpybotDeletingB3830 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SpybotDeletingD6673 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SpybotDeletingA9337 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\SpybotDeletingC4357 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM63bcc8c8 (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khffwmfx -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\khffwmfx  -> Delete on reboot.

Dossier(s) infecté(s):
C:\Program Files\Screensavers.com (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Wallpaper (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\temp (Adware.SoftMate) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\ajtrkdin.dll_old (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nidkrtja.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cwlwxvvh.dll_old (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hvvxwlwc.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dmmbujsl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lsjubmmd.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ggqnjgoe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eogjnqgg.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfFWMFx.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\xFMWFfhk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xFMWFfhk.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vvhbxdwj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jwdxbhvv.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Aurélie\Local Settings\Temp\winvsnet.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Wallpaper\Lindsay Lohan 4.jpg (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Wallpaper\Pepsi - Cheeseburger.jpg (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Wallpaper\swpstart.exe (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Wallpaper\Thumbs.db (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\winvi\Uninst.exe (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\version.ini (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp\AC_RunActiveContent.js (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp\desktop.html (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp\internetDetection.swf (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp\settings.sol (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\temp\version.ini (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tuvspoMD.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\efcYPgFY.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
-----------------------------------------------
Et comme je ne trouvais plus le log, j'ai dû redémarré et en refaire un autre, mais le programme a encore trouvé des infections, donc voici le 2ème log pour Malwarebyte' Anti-Malware:

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 749

Type de recherche: Examen rapide
Eléments examinés: 36098
Temps écoulé: 15 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{944864a5-3916-46e2-96a9-a2e84f3f1208} (Adware.Accoona) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\khfFWMFx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xFMWFfhk.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tuvspoMD.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
------------------------------------------------------------------------------------------------------------------------

Merci beaucoup d'avance pour votre aide! J'en peux plus de ce truc!
J'ai même pensé à formater mon pc mais je me souviens plus du mot de passe de mon routeur, donc je préfère pas... Sauf si quelqu'un a une solution pour cà aussi? (Mais cà c'est pas le plus urgent...)

Merci beaucoup!
Hors ligneAtex Le 15/05/2008 à 00:01 Profil de Atex Configuration de Atex

APVS
Salut,

D'après le scan Navilog, tu es probablement infecté par Vundo... Télécharge VundoFix, exécute et vois si ça règle le problème... Cependant Malwarebyte' Anti-Malware l'a peut-être déjà exterminé !

On verra après pour la suite...
Hors lignePipette1110 Le 15/05/2008 à 00:16 Profil de Pipette1110 Configuration de Pipette1110

Ok J'essaie tout de suite! Je sais pas combien de temps cà prends mais bon... Il faut ce qu'il faut!
Un grand merci!

Cà va tout régler si c'est cà?
Hors ligneAtex Le 15/05/2008 à 00:19 Profil de Atex Configuration de Atex

APVS
Ensuite, redémarre le PC , et puis si elles existent encore, tu pourras supprimer les entrées suivantes dans Hijackthis en les cochant toutes et en cliquant sur Fix Checked:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s

O4 - HKLM\..\Run: [BM63bcc8c8] Rundll32.exe "C:\WINDOWS\system32\pdvxjmbs.dll",s

O4 - HKLM\..\RunOnce: [SpybotDeletingA9972] command /c del "C:\WINDOWS\system32\ajtrkdin.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingC6708] cmd /c del "C:\WINDOWS\system32\ajtrkdin.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingA9337] command /c del "C:\WINDOWS\system32\cwlwxvvh.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingC4357] cmd /c del "C:\WINDOWS\system32\cwlwxvvh.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingA8393] command /c del "C:\WINDOWS\system32\fgivtmkc.dll_old"

O4 - HKLM\..\RunOnce: [SpybotDeletingC6777] cmd /c del "C:\WINDOWS\system32\fgivtmkc.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingB8688] command /c del "C:\WINDOWS\system32\ajtrkdin.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingD4404] cmd /c del "C:\WINDOWS\system32\ajtrkdin.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingB3830] command /c del "C:\WINDOWS\system32\cwlwxvvh.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingD6673] cmd /c del "C:\WINDOWS\system32\cwlwxvvh.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingB5931] command /c del "C:\WINDOWS\system32\fgivtmkc.dll_old"

O4 - HKCU\..\RunOnce: [SpybotDeletingD2392] cmd /c del "C:\WINDOWS\system32\fgivtmkc.dll_old"

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)



Ca fait beaucoup Mais je pense que les entrées O4 ne seront plus là après le redémarrage, je crois que tu as fais le rapport Hijackthis pendant que tu exécutais Malwarebyte' Anti-Malware... Pas bien... une chose après l'autre...
Hors lignePipette1110 Le 15/05/2008 à 11:14 Profil de Pipette1110 Configuration de Pipette1110

Ok J'ai fait comme tu m'as dis, j'ai redémarré et supprimer les entrées dans Hijackthis. Là je crois que tout va bien...
Ya juste Spybot qui m'énerve à vouloir tout autoriser ou bloquer et qui trouve toujours "Virtumonde" et "Virtumonde.dll", tu saurais ce que c'est par hasard??

Pour l'instant, internet a l'air de fonctionner normalement, le pc est moins lent...
En fait, cà a l'air beaucoup plus simple une fois que c'est résolu!!

Un grand merci en tout cas, tu reçois ma reconnaissance éternelle!


Par contre, je viens de me rendre compte que je ne sais plus changer de fond d'écran... ce qui est très dommage parce que temporairement j'en avais mis un rouge vif cà fait un peu mal aux yeux à la longue.... Qu'est-ce que je dois faire???
Hors ligneAtex Le 15/05/2008 à 15:40 Profil de Atex Configuration de Atex

APVS
Ok.



Virtumondo et Vundo c'est du pareil au même... Ils reconnaissent Hijackthis, tu vas donc rennomer Hijackthis.exe en Scanneur.exe, tu refais donc un scan et tu le repostes, on devrait voir apparaitre les lignes liées à cette infection si elle est toujours présente.



Ensuite: Touche Windows + Pause/Attn >>> Onglet Restauration du système >>> coche la case "Désactiver la restauration du système sur tous les lecteurs". Redémarre le PC. Refait un scan Spybot... S'il ne trouve plus rien, réactive la restauration du système...
Hors lignePipette1110 Le 15/05/2008 à 16:43 Profil de Pipette1110 Configuration de Pipette1110

Voilà le scan:

Logfile of HijackThis v1.99.1
Scan saved at 16:43:22, on 15/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Executive Software\Diskeeper\DfrgNTFS.exe
C:\Program Files\Executive Software\Diskeeper\DfrgNTFS.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Monscan\Monscan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {30A0C9EB-527D-4035-B808-AF41F1AB3E7C} - (no file)
O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll
O2 - BHO: (no name) - {39E310E0-DEBE-4446-9A0B-6AB4060ED533} - (no file)
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8C1E8D48-25BF-4139-A181-0FE63286C35F} - (no file)
O2 - BHO: (no name) - {9742C1D0-64B6-4B09-B5C0-A036B1B91155} - (no file)
O2 - BHO: (no name) - {AD63C3A8-885B-4F28-AE62-21DA16FEA9FC} - (no file)
O2 - BHO: (no name) - {EAB53424-B767-4549-BD2D-1299F9663707} - (no file)
O2 - BHO: (no name) - {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: tuvspoMD - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

----------------------------------------------------------------------------------------------------------------

Et sinon avec Spybot, je peux tout supprimer les sauvegardes ou ya des dangers?
Hors ligneAtex Le 15/05/2008 à 18:30 Profil de Atex Configuration de Atex

APVS
Pétard de pétard !!

Virtumondo et Vundo sont réputés tenaces, mais on y arrivera !
Les lignes O2 et O20 étaient cachées, l'infection est toujours là...

Oui, pour Spybot, tu peux supprimer tout ce qu'il trouve, vire aussi les fichiers en quarantaine (Les sauvegardes)...

Tu as bien utilisé VundoFix jusqu'au bout?

1) Si non, relance-le et laisse le bien finir jusqu'au bout.

2) Si oui, télécharge VirtumundoBeGone.exe sur ton bureau, redémarre en mode sans échec, exécute-le, suit les instructions qui s'affichent. Il semblerait qu'il est possible qu'un écran bleu du genre "ERREUR FATAL" apparaissent et que c'est normal, donc pas d'inquiétude... Une fois terminé, redémarre le PC

Ensuite reposte un log Monscan.exe (Hijackthis).

PS:

J'ai une 3 ème solution pour éradiquer définitivement ce Virus, mais j'ai un problème avec le téléchargement du logiciel en question, quand je télécharge ComboFix, même sur le site officiel, Avast détecte un Rootkit(Win32:Rootkit-gen) dedans et arrête le téléchargement... J'avais déjà utilisé ComboFix auparavant et il n'y avait pas ce soucis... Je ne sais pas si c'est normal, donc j'aimerais éviter de te faire utiliser cette outil, parce qu'après faudra supprimer ce Rootkit (Encore que certainement bien plus simple à supprimer que Vundo lol).

Ensuite, pourquoi ton Internet Explorer n'est pas à jour, la dernière version est la Version 7.0.5730.13, et tu en est encore à la 6... Si Microsoft se décarcasse, c'est aussi pour améliorer la sécurité de ces logiciels... Donc il serait temps de faire toutes les mises à jours disponibles sur Mises à jour Windows...
Hors lignePipette1110 Le 15/05/2008 à 21:11 Profil de Pipette1110 Configuration de Pipette1110

Il me semble bien que j'ai executé Vundofix jusqu'au bout mais j'ai réessayé au cas où... et ya aucun résultat!
Sinon je veux bien essayer l'autre mais les dernières fois que je me suis mise en mode sans échec, le pc s'est éteint en plein milieu d'une analyse spybot... mais je vais tenter, on verra!

Et sinon, pour répondre à ta question (pourquoi mon internet explorer n'est pas à jour) ben c'est tout simplement parce que j'utilise quasiment jamais internet explorer, je "travaille" toujours avec Firefox...
Hors ligneAtex Le 15/05/2008 à 21:16 Profil de Atex Configuration de Atex

APVS
Si ça ne va pas en mode sans échec, fait le en mode normal...
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels