Virus(?) Les gros sites (Google,Facebook,Hotmail) ne fonctionnent plus + PopUps

rastignac · **Inscription:** 27 Juil 2008 à 23:36 **Messages:** 5

Bonjour à tous

Voilà j'ai déjà eu ce virus, ou ce "truc", que j'ai réussi à éradiquer je ne sais comment. Mais voilà que ça revient.

Voilà les smptômes :
- Les gros sites du genre Google, Facebook, Hotmail,..Et autres plateformes sont inaccessibles sous Firefox (sous IE elles sont accessibles parfois, une fois sur 50)
- Beaucoup de pop up, de porno souvent
- Un ralentissement général de la connection

Je précise que je suis sous XP

Voici le rapport HiJackThis :

(ps : avast ne voit rien sauf parfois C:\WINDOWS\system32\qqhmdqys.dll )

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:41:56, on 28/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\system32\MAFWTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Octoshape Streaming Services\seraphskaya\OctoshapeClient.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\seraphskaya\Bureau\nettoyage\HiJackThis.exe

O2 - BHO: (no name) - {57A52E74-004C-464B-96CC-4DFE5366EA02} - C:\WINDOWS\system32\ddcDuSkk.dll (file missing)
O2 - BHO: {b5927f0b-6e43-9f09-efb4-6c30bc6ff308} - {803ff6cb-03c6-4bfe-90f9-34e6b0f7295b} - C:\WINDOWS\system32\yvcqdq.dll
O2 - BHO: (no name) - {9092AC95-8F7D-4F68-9974-11ECE44F7979} - C:\WINDOWS\system32\ssqpqonM.dll (file missing)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BMa30ebc66] Rundll32.exe "C:\WINDOWS\system32\yhyyirnv.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [pmgviin] c:\documents and settings\seraphskaya\local settings\application data\pmgviin.exe pmgviin
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Program Files\Octoshape Streaming Services\seraphskaya\OctoshapeClient.exe" -inv:bootrun
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Video ActiveX Access\imsmain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/re ... NPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2DF35F3-E31A-45AC-9E0F-0883CBA41337}: NameServer = 86.64.145.140,84.103.237.140
O20 - Winlogon Notify: ddcDuSkk - ddcDuSkk.dll (file missing)
O22 - SharedTaskScheduler: farrandly - {8aa7a4d2-73c7-4fca-bef7-7923e38a3b1c} - (no file)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe

--
End of file - 5540 bytes

Merci de votre aide !

Moyan

Salut Salut

Je débute dans la désinfection, donc certaines informations que je vais te donner seront peut-être pas bonnes.

Après analyses de tes logs, j'ai trouvé quelques trucs ...

O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Video ActiveX Access\imsmain.exe

==>

O4 - HKCU\..\Run: [pmgviin] c:\documents and settings\seraphskaya\local settings\application data\pmgviin.exe pmgviin

==>

O20 - Winlogon Notify: ddcDuSkk - ddcDuSkk.dll (file missing)

==>

car sans effet

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

==>

car sans effet

O2 - BHO: (no name) - {9092AC95-8F7D-4F68-9974-11ECE44F7979} - C:\WINDOWS\system32\ssqpqonM.dll (file missing)

==>

car sans effet

O2 - BHO: (no name) - {57A52E74-004C-464B-96CC-4DFE5366EA02} - C:\WINDOWS\system32\ddcDuSkk.dll (file missing)

==>

car sans effet

Veuillez attendre la confirmation d'un membre AidoAntivirus avant toute manipulation.

Ayera,

sundering

Bonjour et Bienvenue,

Je remarque que vous avez aussi crée un sujet ici, merci de choisir un Forum afin d'effectuer la procédure de désinfection qui te sera proposer si infection est

Tout d'abord, pourrais-tu effectuer la procédure de pré-néttoyage et poster les deux rapports "main.txt" et "extra.txt".

Comme dit par Ayera pendant la rédaction de mon post, il y a quelques petites choses inutiles

Cf Winx :

Citation:

Tu n'as pas de Firewall, c'est la 1ere des protections à installer pour un minimum de sécurité...
Le parefeu windows ne bloque QUE LES ENTREES, il ne bloque aucune sortie, ce qui fait que lorsque l'on est infecté, toutes les infos récupérées par les éditeurs de malwares peuvent sortir en douce sans que tu ne les apercoives, ce qui n'est pas le cas des parefeux suivants, qui bloque les entrées ET les sorties.

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 4, gratuits et performants :

Zone alarm, parefeu gratuit et performant :
-------------------------------------------------------------------------------

* Téléchargement de ZoneAlarm : http://www.zonelabs.com/store/content/c ... jsp?dc=12b ms&ctry=&lang=fr
* Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1
Un souci/conflit a été identifiéavec ZoneAlarm, les concepteurs cherchent actuellement une solution et conseillent en attendant de supprimer la mise à jour de Windows KB951748
la dernière version de Zone alarm est en anglais
http://download.zonealarm.com/bin/free/ ... Issue.html

Kerio Personnal Firewall très bon et gratuit aussi :
-----------------------------------------------------------------------------------

* Téléchargement de Kerio : http://telechargement.zebulon.fr/kerio.html
* Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Jetico, que je n'ai pas testé mais dont j'ai eu de très bons échos :
-----------------------------------------------------------------------------------------------------------

* Téléchargement de Jetico : http://www.jetico.com/download.htm
* Tutorial de configuration : http://www.malekal.com/tutorial_JeticoFirewall.php

Outpost
--------------------------

* Téléchargement d'Outpost : http://www.agnitum.com/products/outpost ... wnload.php
* Tutorial de configuration : http://c.rosu.free.fr/Conf_outpost.htm[/list]
pas compatible avec Vista

=========================================
Avast/Antivir
=====================
Je remarque que tu as Avast dans ton PC. (je lui donne une note de 4/10 )
Avast! est loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations :
http://www.aidoforum.com/forum/vsujet-1 ... tml#180625

Antivir est beaucoup plus performant et réactif , il reconnait plus de 1 000 000 de malwares et autres bestioles dangereuses.
Il n'a rien à envier aux ténors payants du genre (kaspersky , nod32.. (je ne parle pas de Norton, qui a mon sens est une belle passoire )
C'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast! et installer Antivir à la place :
http://www.malekal.com/tutorial_antivir.php
- Après l'installation, mets le à jour -( si ton firewall fait une alerte.. accepte la connexion.)
- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.
Si tu as un problème pour mettre à jour vas voir ici :
-->source tuto ici

Tu pourras aussi désinstaller Ad-aware au profit de Malwarebytes' Anti-Malware que Winx ou Synthexe te feront certainement installer lors de ta désinfection.

rastignac · **Inscription:** 27 Juil 2008 à 23:36 **Messages:** 5

Ok j'ai installé Kerio et Antivir.

Parcontre, je crois que DSS plante. Quand il "clean temporary files", il se bloque, la fenetre devient blanche et même après 20 minutes d'attentes rien ne bouge.
Est-ce normal?

Winx

Salut à toi et bienvenue,

Poste un rapport complet de Antivir.
Ensuite fais ceci:

On va utiliser Ccleaner de Piriform Ltd.

Télécharger CCleaner sur le bureau:

Ne le télécharge pas si tu l'as déjà !

-->source ici

Une fois sur le bureau, clic sur l'install de CCleaner.

Mais avant de cliquer sur le bouton

installer

options supplémentaires

Options

Avancé

Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Nettoyeur

Lancer le Nettoyage

Registre,

Chercher des erreurs

Réparer les erreurs sélectionnées

Accepte la sauvegarde, de la BDR (base de registre )qu'il propose .

Je te conseille de le repasser au moins deux fois

--->aide visuelle, clic ici
Winx

----------------------------------------------

Si ce n'est pas encore téléchargé, fais ceci:

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).
-->source ici

* Redémarre en mode sans échec :

MBAM

Exécuter un examen complet

Patiente le temps du scan.

Supprimer la sélection

MBAM

Enregistre le rapport sur ton Bureau lorsqu'il s'affichera.

Poste le rapport dans ta prochaine réponse.

rastignac · **Inscription:** 27 Juil 2008 à 23:36 **Messages:** 5

Voici le rapport Antivir :

Citation:

Avira AntiVir Personal
Report file date: lundi 28 juillet 2008 14:37

Scanning for 1513952 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: SRSKYA-C9FA71FC

Version information:
BUILD.DAT : 8.1.0.326 16933 Bytes 11/07/2008 12:57:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 07:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 07:58:52
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:54:15
ANTIVIR2.VDF : 7.0.5.174 2027008 Bytes 25/07/2008 09:45:01
ANTIVIR3.VDF : 7.0.5.179 56832 Bytes 28/07/2008 09:45:01
Engineversion : 8.1.1.12
AEVDF.DLL : 8.1.0.5 102772 Bytes 09/07/2008 08:46:50
AESCRIPT.DLL : 8.1.0.59 307579 Bytes 28/07/2008 09:45:09
AESCN.DLL : 8.1.0.23 119156 Bytes 28/07/2008 09:45:08
AERDL.DLL : 8.1.0.20 418165 Bytes 09/07/2008 08:46:50
AEPACK.DLL : 8.1.2.1 364917 Bytes 28/07/2008 09:45:06
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 28/07/2008 09:45:05
AEHEUR.DLL : 8.1.0.44 1343863 Bytes 28/07/2008 09:45:04
AEHELP.DLL : 8.1.0.15 115063 Bytes 09/07/2008 08:46:50
AEGEN.DLL : 8.1.0.31 311669 Bytes 28/07/2008 09:45:03
AEEMU.DLL : 8.1.0.6 430451 Bytes 09/07/2008 08:46:50
AECORE.DLL : 8.1.1.7 172406 Bytes 28/07/2008 09:45:02
AEBB.DLL : 8.1.0.1 53617 Bytes 24/04/2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:28:01
AVREP.DLL : 8.0.0.2 98561 Bytes 28/07/2008 09:45:02
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: lundi 28 juillet 2008 14:37

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'kpf4gui.exe' - '1' Module(s) have been scanned
Scan process 'StarWindService.exe' - '1' Module(s) have been scanned
Scan process 'kpf4ss.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'OctoshapeClient.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'mafwTray.exe' - '1' Module(s) have been scanned
Scan process 'cledx.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '46' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Deckard\System Scanner\20080728135853\backup\DOCUME~1\SERAPH~1\LOCALS~1\Temp\AAWTMP\def.ini
[DETECTION] Contains recognition pattern of the JS/Dldr.Agent.KO Java script virus
[NOTE] The file was moved to '48f3be7a.qua'!
C:\Documents and Settings\seraphskaya\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmimpro.jar-54e206d6-1eb2cbf8.zip
[0] Archive type: ZIP
--> vmain.class
[DETECTION] Contains recognition pattern of the EXP/Java.Gimsh.A.39 exploit
[NOTE] The file was moved to '48fabef4.qua'!
C:\Documents and Settings\seraphskaya\Bureau\Bureau2\bureau\globalcodec1183.exe
[DETECTION] Is the TR/Zlob Trojan
[NOTE] The file was moved to '48fcbf1a.qua'!
C:\Documents and Settings\seraphskaya\Bureau\nettoyage\Navilog1.exe
[DETECTION] Contains recognition pattern of the DR/Tool.Reboot.F.88 dropper
[NOTE] The file was moved to '4903bf7a.qua'!
C:\Documents and Settings\seraphskaya\Bureau\nettoyage\SmitfraudFix.exe
[0] Archive type: RAR SFX (self extracting)
--> SmitfraudFix\IEDFix.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/IRC.Chazz.43 back-door program
[NOTE] The file was moved to '48f6bf8c.qua'!
C:\Documents and Settings\seraphskaya\Bureau\nettoyage\SmitfraudFix\IEDFix.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/IRC.Chazz.43 back-door program
[NOTE] The file was moved to '48d1bf67.qua'!
C:\Program Files\eMule\Incoming\samp\Install Audio\Edirol.HQ.Orchestral.VSTi.v1.03-TALiO.rar
[0] Archive type: RAR
--> Edirol.HQ.Orchestral.VSTi.v1.03-TALiO\t-eo103s.zip
[1] Archive type: ZIP
--> t-hqo103.r17
[2] Archive type: RAR
--> talio.nfo
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP536\A0269173.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '48bfcc64.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP536\A0269201.dll
[DETECTION] Is the TR/Vundo.EIP Trojan
[NOTE] The file was moved to '48bfcc67.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP536\A0269202.dll
[DETECTION] Is the TR/PCK.Monder.108544 Trojan
[NOTE] The file was moved to '48bfcc69.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP536\A0269203.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '48bfcc6b.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP536\A0269206.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
[NOTE] The file was moved to '48bfcc75.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP536\A0272235.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '48bfcc78.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP542\A0280466.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/IRC.Chazz.43 back-door program
[NOTE] The file was moved to '48bfcc89.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP542\A0280467.ini
[DETECTION] Contains recognition pattern of the JS/Dldr.Agent.KO Java script virus
[NOTE] The file was moved to '493e11ca.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP542\A0280468.exe
[DETECTION] Is the TR/Zlob Trojan
[NOTE] The file was moved to '48bfcc8b.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP542\A0280469.exe
[DETECTION] Contains recognition pattern of the DR/Tool.Reboot.F.88 dropper
[NOTE] The file was moved to '48bfcc8a.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP542\A0280470.exe
[0] Archive type: RAR SFX (self extracting)
--> SmitfraudFix\IEDFix.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/IRC.Chazz.43 back-door program
[NOTE] The file was moved to '493e11cc.qua'!
C:\System Volume Information\_restore{9D553731-D907-460E-B127-4483636B6B15}\RP542\A0280471.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/IRC.Chazz.43 back-door program
[NOTE] The file was moved to '48bfcc8d.qua'!
C:\WINDOWS\system32\IEDFix.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/IRC.Chazz.43 back-door program
[NOTE] The file was moved to '48d1ce01.qua'!
C:\WINDOWS\system32\rmuomxsr.dll
[DETECTION] Is the TR/PCK.Monder.108544 Trojan
[NOTE] The file was moved to '4902ce48.qua'!
C:\WINDOWS\system32\ywurcxro.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '4902ce66.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNING] The file could not be opened!

End of the scan: lundi 28 juillet 2008 15:49
Used time: 1:11:47 Hour(s)

The scan has been done completely.

10589 Scanning directories
331968 Files were scanned
21 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
21 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
331944 Files not concerned
2686 Archives were scanned
4 Warnings
21 Notes

J'ai aussi effectué un scan MABM (3 heures !!!)
Malheureusement aucun log ne s'est affiché, et quand je recherche dans la section rapports, il n'y a que des anciens, "anciens", car je vien juste de l'installer, bizarre.

Winx

re,
Va en mode sans échec, (redémarrer le PC, tapoter sur F8 et se mettre alors sur mode sans échec , dans le menu qui s'affiche )

refais alors un scan avec Malware Byte's Antimalware
Poste le rapport..

rastignac · **Inscription:** 27 Juil 2008 à 23:36 **Messages:** 5

Je viens juste de le faire ce scan, en mode safe, même que je suis resté 3h20 devant

Il a trouvé une 20aine d'infections, qu'il a supprimé.
Tout est bien coché pour l'enregistrement du rapport, je sais pas trop si ça va servir à grand chose de le refaire

Winx

re,
tu as le rapport stp, merci !

Citation:

Il a trouvé une 20aine d'infections, qu'il a supprimé.

rastignac · **Inscription:** 27 Juil 2008 à 23:36 **Messages:** 5

Apparemment, c'est résolu.

Je poste tout de même le rapport MBAM, voir si ça vient pas de "chez moi" :

Citation:

Malwarebytes' Anti-Malware 1.23
Version de la base de données: 1006
Windows 5.1.2600 Service Pack 2

15:44:41 29/07/2008
mbam-log-7-29-2008 (15-44-37).txt

Type de recherche: Examen rapide
Eléments examinés: 49888
Temps écoulé: 13 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 18
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 26

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{803ff6cb-03c6-4bfe-90f9-34e6b0f7295b} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{803ff6cb-03c6-4bfe-90f9-34e6b0f7295b} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{8ad9ad05-36be-4e40-ba62-5422eb0d02fb} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{aebf09e2-0c15-43c8-99bf-928c645d98a0} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{d8560ac2-21b5-4c1a-bdd4-bd12bc83b082} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e343edfc-1e6c-4cb5-aa29-e9c922641c80} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bma30ebc66 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{57a52e74-004c-464b-96cc-4dfe5366ea02} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\InternetGameBox (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\favoris (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\skins (Adware.EGDAccess) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\yvcqdq.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Application Data\pmgviin_navps.dat (Adware.Navipromo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Application Data\pmgviin_nav.dat (Adware.Navipromo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Application Data\pmgviin.dat (Adware.Navipromo) -> No action taken.
C:\WINDOWS\system32\yhyyirnv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lcaeixjd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ntkqtvwu.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Temporary Internet Files\Content.IE5\KS00YP4U\kb671231[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Temporary Internet Files\Content.IE5\KS00YP4U\kb671231[2] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Temporary Internet Files\Content.IE5\U6K6JQOL\kb767887[2] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Temporary Internet Files\Content.IE5\UIORBB12\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Temporary Internet Files\Content.IE5\VBRBAND5\css4[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Temporary Internet Files\Content.IE5\VBRBAND5\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Program Files\InternetGameBox\language (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\AttenteOff.html (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\AttenteOn.html (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\configv2_en.xml (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\configv2_es.xml (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\configv2_fr.xml (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\ressources\favoris\defaultv2.swf (Adware.EGDAccess) -> No action taken.
C:\Program Files\InternetGameBox\skins\skinv2.skn (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\WINDOWS\BMa30ebc66.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BMa30ebc66.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.

Winx

re,
refais le scan de Malware Byte's Antimalware
je voudrais voir si malgrés le No action taken. il a effacé quand même...

reposte un nouveau rapport.

ensuite fais ceci:
Exécute cette manip pour faire un scan avec Combofix.développé par sUBs.
En portant une attention particulère à l'install de la console , à la demande de sUBs. , concepteur de l'outil utilisé.
-->source ici
Poste le rapport de C:\Combofix.txt. sur le forum.

synthexe · **Inscription:** 08 Fév 2007 à 09:57 **Messages:** 2498

Bonsoir

Pfiou ... c'est moche .... une vraie GROSSE multi-infection ... navipromo, Vundo, VAC ...

@Winx et également pour les gens souhaitant s'investir dans la lutte antimalware :
Il est IMPORTANT de passer des outils spécialisés (SmitFraudFix, Lop S&D, Navipromo, Vundofix, etc...) AVANT les outils généralistes (AVG-AS, MalwareBytes AntiMalware, DrWeb, etc...).

Dans le cas qui nous occupe, il aurait fallu faire passer SmitFraudFix (pour l'infection VAC : O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Video ActiveX Access\imsmain.exe ), mais également Navilog1 (pour l'infection Navipromo :C:\Documents and Settings\seraphskaya\Local Settings\Application Data\pmgviin_navps.dat (Adware.Navipromo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Application Data\pmgviin_nav.dat (Adware.Navipromo) -> No action taken.
C:\Documents and Settings\seraphskaya\Local Settings\Application Data\pmgviin.dat (Adware.Navipromo) -> No action taken.

Ces outils sont dédiés, c'est à dire qu'ils utilisent des outils spéciaux pour reconnaitre leur type d'infection, mais également qu'ils nettoient en profondeur (avec les clés dans la base de registre), si le travail a été entamer par un outil généraliste, alors l'infection ne sera pas forcément détecté (le fichier principal n'étant pas détecté puisque déjà éliminer) et du coup la base de registre n'est pas nettoyée.

Je ne sais pas si c'est bien clair. S'il le faut, MP moi pour poser vos questions (attention, pas trop, je n'ai malheureusement que peu de temps libre).

Winx

re,

en ce moment j'ai le cerveau un peu chaud :shock:

Mais bon !
Donc tu as reçu refaire un scan Malware Byte's Antimalware ?
POste le rapport.

=====================

SmitfraudFix de S!Ri.

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

SmitfraudFix.exe.

l'option #1

Chercher

en appuyant sur 1

* Poste le rapport dans ta prochaine réponse.

Citation:

process.exe (partie intégrante de Smitfraud ) est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/p ... ssutil.htm [/list]

Règles du forum

Virus(?) Les gros sites (Google,Facebook,Hotmail) ne fonctionnent plus + PopUps

Qui est en ligne