hello à tous, je vous appel au secoure car je suis sur un gros boulot avec ma station de travail et j'ai un trojan qui me fais très peur.
je suis parfaitement incompétent dans la purge de ce genre de "saloperie"
j'ai un anti virus gratuit "AVIRA" à jour
je vous poste les rapports, AVIRA et HijackThis
peut-etre pouvez vous m'aider....
merci
Exported events:

14.05.2008 23:49 [Guard] Guard enabled
      AntiVir Guard was enabled.

14.05.2008 23:45 [Guard] Guard disabled
      AntiVir Guard was disabled.

14.05.2008 23:39 [Guard] Malware found
      Virus or unwanted program 'TR/PrivacySet.A [trojan]'
      detected in file
      'C:\Users\Administrateur\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Content.IE5\4UJ23EF4\yaypalassamosvala[1].
      Action performed: Deny access

14.05.2008 23:38 [Guard] Malware found
      Virus or unwanted program 'TR/PrivacySet.A [trojan]'
      detected in file
      'C:\Users\Administrateur\AppData\Local\Microsoft\Windows\Temporary Internet
      Files\Content.IE5\4UJ23EF4\yaypalassamosvala[1].
      Action performed: Deny access

14.05.2008 23:36 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\Windows\System32\qyplbsio.dll.
      Action performed: Deny access

14.05.2008 23:36 [Guard] Malware found
      Virus or unwanted program 'TR/Vundo.Gen [trojan]'
      detected in file 'C:\Windows\System32\qyplbsio.dll.
      Action performed: Deny access
-----------------
J'ai également un rapport de HijackThis v2.0.2 que je vous poste aussi

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:43, on 15.05.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Sony\Vegas Pro 8.0\vegas80.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 102.54.94.97 rhino.acme.com # source server
O1 - Hosts: 38.25.63.10 x.acme.com # x client host
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41DEA8C7-DB90-4E1A-80B4-1CD649831BE3} - C:\Windows\system32\cbxvSJcD.dll
O2 - BHO: (no name) - {6C23AB0C-0244-4B01-8253-BEE724D0D2EC} - C:\Windows\system32\jkkICttS.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\jkkICttS.dll,#1
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Watch2007.exe
O4 - HKLM\..\Run: [BMdb24548c] Rundll32.exe "C:\Windows\system32\kbtbtgjk.dll",s
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

--
End of file - 5507 bytes
merci de votre aide

Salut,

Dans Hijackthis coche les lignes suivantes puis clique sur Fix Checked:


O1 - Hosts: 102.54.94.97 rhino.acme.com # source server

O1 - Hosts: 38.25.63.10 x.acme.com # x client host

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\jkkICttS.dll,#1

O4 - HKLM\..\Run: [BMdb24548c] Rundll32.exe "C:\Windows\system32\kbtbtgjk.dll",s

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O13 - Gopher Prefix:



Tu es infecté par Vundo... Télécharge VundoFix, exécute et vois si ça règle le problème des page qui s'ouvrir toutes seules sur internet


Télécharge Navilog sur ton bureau, ferme toutes les applications, exécute-le, suis les indications, et sur le menu principal, choisis l'option 1.
Attends le message : *** Analyse Terminé le... ***  Appuies sur une touche et le rapport s'affiche dans le bloc-note. Copie tout dans ton prochain message.

Télécharge et installe Malwarebyte' Anti-Malware
Après l'installation, accepte les mise à jour. Une fois le programme lancé, tu n'a plus qu'à cliquer sur "Rechercher" (en mode examen rapide coché par défaut).
Une fois la recherche terminé, coche tout ce qui a été trouvé et supprime tout... Quand le bloc note s'ouvre, copie le rapport et poste-le dans ton prochain message.

hello un peu pressé j'ai effectué les analyses avec de faire tourné VoudoFix -- navré--

je te transmets les rapports
en attendant je fais tourner vundofix

merci de ton aide


Search Navipromo version 3.5.7 commencé le 15.05.2008 à  0:43:10.05

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\users\admini~1\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\Administrateur\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Administrateur\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Administrateur\AppData\Local" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Administrateur\AppData\Local\Microsoft" :


* Dans "C:\Users\Administrateur\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\Windows\system32\DcJSvxbc.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\Windows\system32\LRuDNqru.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 15.05.2008 à  0:49:53.16 ***
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 750

Type de recherche: Examen rapide
Eléments examinés: 34788
Temps écoulé: 2 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\cbxvSJcD.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\jkkICttS.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{41dea8c7-db90-4e1a-80b4-1cd649831be3} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{41dea8c7-db90-4e1a-80b4-1cd649831be3} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6c23ab0c-0244-4b01-8253-bee724d0d2ec} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6c23ab0c-0244-4b01-8253-bee724d0d2ec} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMdb24548c (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6c23ab0c-0244-4b01-8253-bee724d0d2ec} (Trojan.Vundo) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\cbxvsjcd -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\cbxvsjcd  -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\cbxvSJcD.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\DcJSvxbc.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\DcJSvxbc.ini2 (Trojan.Vundo) -> No action taken.
C:\Windows\System32\urqNDuRL.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\LRuDNqru.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\LRuDNqru.ini2 (Trojan.Vundo) -> No action taken.
C:\Windows\System32\jkkICttS.dll (Trojan.Agent) -> No action taken.
C:\Windows\System32\kbtbtgjk.dll (Trojan.Agent) -> No action taken.

Infection Vundo et Trojan.Agent...

---->   Malwarebytes' Anti-Malware: supprime tout ce qu'il a trouvé....

Un coup de CCleaner et ça repart...

encore merci, mais dis moi c'est quoi CCleaner?
là je suis en train de faire tourner VundoFix mais j'ai plein d'alerte de mon Avira... je met les cheveaux en carentaine mais ils en aura partout après?? est-ce que je dois désactiver Avira?

CCleaner: Analyse et nettoye les fichiers temporaires... Puis réparer les erreurs de la base de registre.

Je pense que tu peux désactiver l'antivirus le temps du scan...

ok merci pour tout ca semble aller mieux.....
extraordinaire ton aide et ton site.
si j'ose une dernière question, Malwarebytes en version complète suffirait-il comme antivirus et autre pour ma machine? j'ai besoin de quelque chose qui ne me bouffe pas trop de ressource car je fais du montage vidéo et 3D. Mais me protéger honorablement?

Aucune idée, je n'utilise que la version gratuite en temps qu'anti-spyware, la seule chose qui est sûre, c'est qu'aucun Anti-virus ou logiciel quelqu'il soit n'ait capable de tout arrêter. Chaque logiciel aura ces avantages, ces lacunes... Personnellement j'utilise Avast (gratuit) et Comodo comme Firewall (gratuit aussi) et tout autres outils gratuit du genre Hijackthis, Malwarebytes, Navilog, Adaware, Spybot et compagnie...

Et ce n'est pas mon site , je suis seulement membre du site et j'étais connecté au bon moment...

hello, après ce gros nettoyage mon ordi semble fonctionner, j'ai juste un dernier doute; à l'extinction, j'ai un message disant que ccc.exe ne peut se fermer.... on peu lire sur le web toute sorte de chose là dessus, virus ou problème avec la carte graphique.... en savez-vous un peu plus?

Salut,

O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

Aucun risque, c'est bien les Drivers de la carte graphique... Peut-être ont-ils pris une claque, je propose d'essayer de simplement les réinstaller.