[vh0711]

Bonjour

Depuis 2 jours très difficile de naviguer ordi lent + fenêtres ouvertes de façon intempestives...
J'ai effectué une analyse avec asquared anti malware il a detecté entre autre les virus suivants :
Win32.suspectcrc! IK
Trojan dowloaderwin32
IM worm
Behavior trojan dowloader

Et j'en passe! mais ordi tjrs aussi lent que doit je faire???
Merci d'avance

Rapport smitfraudfix :
SmitFraudFix v2.354

Rapport fait à 19:39:07,98, 30/09/2008
Executé à partir de C:\Documents and Settings\HERNU\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\KGB\MPK.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HERNU


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HERNU\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HERNU\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="c:\\windows\\system32\\userinit.exe,C:\\Program Files\\KGB\\MPK.exe"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SAGEM Wi-Fi 11g USB adapter #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7770D52A-E551-4BEA-AA32-B894F1873618}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D9FBBBB4-CAC7-449E-A7E9-C6ADD9AFAEA8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7770D52A-E551-4BEA-AA32-B894F1873618}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D9FBBBB4-CAC7-449E-A7E9-C6ADD9AFAEA8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D9FBBBB4-CAC7-449E-A7E9-C6ADD9AFAEA8}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[vh0711]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:46:47, on 30/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Glary Utilities\memdefrag.exe
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Program Files\KGB\MPK.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BM6b3203ba] Rundll32.exe "C:\WINDOWS\system32\jnxuueob.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Glary Memory Optimizer] "C:\Program Files\Glary Utilities\memdefrag.exe" /autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: http://g.msn.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1222728018312
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/fr/fr/importer/ImageUploader4.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 6320 bytes







Version - a-squared Anti-Malware 4.0
Dernière mise à jour : 30/09/2008 11:31:55

Paramètres des balayages :

Éléments : Mémoire, Traces, Cookies, C:\
Balaye dans les archives : Marche
Analyse heuristique : Marche
Balayage ADS : Marche

Lancement du balayage : 30/09/2008 13:52:53

[240] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[392] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[456] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2156] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2228] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2240] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2248] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2272] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2292] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2300] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2356] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[2364] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[3048] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[332] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
[3612] C:\Program Files\KGB\MPK.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
c:\program files\kgb détectés : Trace.Directory.KGB Keylogger 4.5!A2
c:\program files\kgb\help détectés : Trace.Directory.KGB Keylogger 4.5!A2
c:\program files\kgb\help\registration détectés : Trace.Directory.KGB Keylogger 4.5!A2
c:\program files\kgb\help\registration\english détectés : Trace.Directory.KGB Keylogger 4.5!A2
c:\program files\kgb\help\registration\german détectés : Trace.Directory.KGB Keylogger 4.5!A2
c:\program files\kgb\help\registration\russian détectés : Trace.Directory.KGB Keylogger 4.5!A2
c:\program files\kgb\help\registration\spanish détectés : Trace.Directory.KGB Keylogger 4.5!A2
c:\program files\kgb\help\spanish détectés : Trace.Directory.KGB Keylogger 4.5!A2
Value: HKEY_CLASSES_ROOT\mpkreg --> URL Protocol détectés : Trace.Registry.KGB Employee Monitor 4.5!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mpkreg --> URL Protocol détectés : Trace.Registry.KGB Employee Monitor 4.5!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\KGB Software --> AppPath détectés : Trace.Registry.KGB Keylogger!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers --> C:\Program Files\KGB\Mpk.exe détectés : Trace.Registry.KGB Keylogger!A2
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers --> C:\Program Files\KGB\MpkView.exe détectés : Trace.Registry.KGB Keylogger!A2
C:\Documents and Settings\HERNU\Local Settings\Temp\removalfile.bat détectés : Win32.SuspectCrc!IK
C:\Documents and Settings\HERNU\Local Settings\Temp\Répertoire temporaire 3 pour Sygate5_6.zip\sygate5.6 Patch fr.exe détectés : Trojan-Downloader.Win32.Zlob.bxr!IK
C:\Documents and Settings\HERNU\Mes documents\dossier Vincent\Outils\SDFix (mode ss echec)\apps\Process.exe détectés : Riskware.RiskTool.Win32.Processor.20!A2
C:\Documents and Settings\HERNU\Mes documents\dossier Vincent\Outils\SDFix (mode ss echec)\apps\RestartIt!.exe détectés : IM-Worm.Win32.Prex.D!IK
C:\Program Files\KGB\Mpk.dll détectés : Riskware.Monitor.Win32.KGBSpy.aq!A2
C:\Temp\1cb\syscheck.log détectés : Trojan-Downloader.Win32.Small.BUY!IK
C:\WINDOWS\system32\ontz\DK7622Z.exe/whAgent.exe détectés : Win32.SuspectCrc!IK
C:\WINDOWS\system32\ontz\DK7622Z.exe/whInstaller.exe détectés : Win32.SuspectCrc!IK
C:\WINDOWS\system32\ontz\DK7622Z.exe/webhdll.dll détectés : Riskware.AdWare.Win32.WebHancer.390!IK
C:\WINDOWS\system32\ontz\DK7622Z.exe/whiehlpr.dll détectés : Virus.Win32.Dialer.567!IK
C:\WINDOWS\system32\pac.txt détectés : Trojan-Downloader.VB.VPG!IK
C:\WINDOWS\system32\Process.exe détectés : Riskware.RiskTool.Win32.Processor.20!A2

Analysé

Fichiers : 227087
Traces : 553162
Cookies : 19
Processus : 42

Trouvé

Fichiers : 12
Traces : 13
Cookies : 0
Processus : 15
Clés de Registre : 0

Fin du balayage : 30/09/2008 15:34:22
Durée du balayage : 1:41:29

C:\WINDOWS\system32\pac.txt Quarantaine Trojan-Downloader.VB.VPG!IK
C:\WINDOWS\system32\ontz\DK7622Z.exe/whiehlpr.dll Quarantaine Virus.Win32.Dialer.567!IK
C:\WINDOWS\system32\ontz\DK7622Z.exe/webhdll.dll Quarantaine Riskware.AdWare.Win32.WebHancer.390!IK
C:\Temp\1cb\syscheck.log Quarantaine Trojan-Downloader.Win32.Small.BUY!IK
C:\Documents and Settings\HERNU\Mes documents\dossier Vincent\Outils\SDFix (mode ss echec)\apps\RestartIt!.exe Quarantaine IM-Worm.Win32.Prex.D!IK
C:\Documents and Settings\HERNU\Mes documents\dossier Vincent\Outils\SDFix (mode ss echec)\apps\Process.exe Quarantaine Riskware.RiskTool.Win32.Processor.20!A2
C:\WINDOWS\system32\Process.exe Quarantaine Riskware.RiskTool.Win32.Processor.20!A2
C:\Documents and Settings\HERNU\Local Settings\Temp\Répertoire temporaire 3 pour Sygate5_6.zip\sygate5.6 Patch fr.exe Quarantaine Trojan-Downloader.Win32.Zlob.bxr!IK
C:\Documents and Settings\HERNU\Local Settings\Temp\removalfile.bat Quarantaine Win32.SuspectCrc!IK
C:\WINDOWS\system32\ontz\DK7622Z.exe/whAgent.exe Quarantaine Win32.SuspectCrc!IK
C:\WINDOWS\system32\ontz\DK7622Z.exe/whInstaller.exe Quarantaine Win32.SuspectCrc!IK

Quarantaine

Fichiers : 11
Traces : 0
Cookies : 0

[vh0711]

SVP que dois je faire?? je n'arrive pas à m'en débarasser, il revient tt le temps!! Est ce qu'il faut formater??

[vh0711]

Pourquoi n'ai je pas de réponses?? c'est mauvais signe ça !!

[Haribo76]

Bonjour vh0711

[vh0711]

Merci pour les conseils!
voici les 2 rapports :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1221
Windows 5.1.2600 Service Pack 2

01/10/2008 17:20:34
mbam-log-2008-10-01 (17-20-34).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Eléments examinés: 112486
Temps écoulé: 19 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\geBtqPfd.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{df822efa-9e08-414a-8b2c-976e00228372} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df822efa-9e08-414a-8b2c-976e00228372} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e4a9a0b0-7a71-4e6b-b1e1-47a8e06b34cd} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebtqpfd (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e4a9a0b0-7a71-4e6b-b1e1-47a8e06b34cd} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm6b3203ba (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e4a9a0b0-7a71-4e6b-b1e1-47a8e06b34cd} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jnxuueob.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM6b3203ba.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM6b3203ba.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ueojwu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\geBtqPfd.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\kkmhktvn.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvtkhmkk.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ymitinya.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aynitimy.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nnnopnki.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\npfvbdyh.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.





*BitDefender Online Scanner*

*Rapport d'analyse généré à: Wed, Oct 01, 2008 - 19:50:33*

* *

*Voie d'analyse: *C:\;D:\;E:\;F:\;G:\;H:\;I:\;





Statistiques*

Temps



00:20:57

Fichiers



40915

Directoires



5272

Secteurs de boot



0

Archives



804

Paquets programmes



3200

*Résultats*

Virus identifiés
1

Fichiers infectés
1

Fichiers suspects



0

Avertissements



0

Désinfectés



0

Fichiers effacés
1



*Info sur les moteurs*

Définition virus



1825847

Version des moteurs



AVCORE v1.7 (build 8314.19) (i386) (Sep 10 2008 19:37:42)

Analyse des plugins



16

Archive des plugins



43

Unpack des plugins



7

E-mail plugins



6

Système plugins



4









*Paramètres d'analyse*

Première action



Désinfecté

Seconde Action



Supprimé

Heuristique



Oui

Acceptez les avertissements



Oui

Extensions analysées



exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions





Analyse d'emails



Oui

Analyse des Archives



Oui

Analyser paquets programmes



Oui

Analyse des fichiers



Oui

Analyse de boot



Oui











*Fichier analysé*



* Statut*

C:\WINDOWS\system32\EV02\EV022328.exe



Infecté par: Trojan.Generic.748973

C:\WINDOWS\system32\EV02\EV022328.exe



Supprimé





* *









* *

[Haribo76]

Re

Petite inféction Vundo

1°)Télecharge VundoFix

• Lance VundoFix
• Clic sur "Scan for Vundo"
• Patiente gentillement
• A la fin de l'analyse clic sur "Fix Vundo"
• Poste moi ensuite le rapport qui se sera sauvegardé dans "C:\vundofix.txt"

2°)Télécharge FixVundo

• Enregistres le dans un dossier que tu auras créé sur ton bureau
• Exécutes ensuite FixVundo
• Clic sur "Start" pour commencer l'analyse
• Patiente gentillement
• A la fin de l'anlayse un rapport nommé FixVundo.log c'est enregistré dans le dossier que tu as créé pour enregistré le programme "FixVundo"
• Fais moi un copié/collé de ce FixVundo.log

Si tu rencontres un problème pendant l'utilisation de cette procédure. N'hésite surtout pas à venir m'en parler :rolleyes: .

A très bientôt
_________________
En vac, de retour dans quelques jours, soyez patient

[vh0711]

Salut Haribo!

Je suis en train de faire la manip, par contre j'ai une question concernant la réinstallation de XP, j'ai un tas de programmes qui ont été installés, supprimés, etc... + ces derniers temps pas mal de virus, ce qui fait que j'avais l'intention de formater mon dd pour réinstaller... Seulement gros problème!! Pas de CD d'installation ni même de partitions sur disque dur CAD rien ne me permet de réinstaller XP étant donné que mon DD à déjà laché une fois les techniciens l'ont changé et point, pas de sauvegardes rien.
Alors ma question est que dois je faire pour réinstaller XP?
Merci d'avance pour la réponse.

Vincent

[vh0711]

RE !


Voici les rapports

rien n'a été trouvé!!

Symantec Trojan.Vundo Removal Tool 1.5.0

C:\System Volume Information: (not scanned)
Trojan.Vundo has not been found on your computer.








VundoFix V7.0.6

Scan started at 11:58:56 02/10/2008

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...

Beginning removal...

[Haribo76]

Re

Si tes raisons pour formater sont celle que tu m'as donné. Elles ne sont pas justifiable. Ne tkt pas à la fin on va tout néttoyer à neuf.Il n'y aura plus de traces des fameux logiciel, ainsi que de virus. On va défragmenter tout ca.
Franchement, pas besoin de formater c'est une grosse perte de temps et de donné


1°)Refais un Scan malwareByte's Antimalware dans les mêmes conditions que le précédent

• Refais bien les mises à jours
• Mode sans echec
• Tout en quarantaine (=supprimer la sélection)
• Poste moi le rapport généré stp
• Revoici le tuto au cas ou tu serais perdu ==> Tuto MalwareByte's Antimalware

++
_________________
En vac, de retour dans quelques jours, soyez patient

[vh0711]

Salut!
Oui à la fois pour ces raison et aussi parce que j'installe et désinstalle bcp de programmes. Je vais surement le formater mais si en attendant ça fonctionne correctement je v ais retarder au max!

Voila j'ai effectué la recherche avec le logiciel:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1226
Windows 5.1.2600 Service Pack 2

03/10/2008 16:40:44
mbam-log-2008-10-03 (16-40-27).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 89890
Temps écoulé: 16 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\awnsdsub.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jagfnh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jkvttfed.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\msqzee.dll (Trojan.Vundo) -> No action taken.


Merci pour ton efficacité!

[Haribo76]

Re

Excuse moi du retard mais j'étais pas chez moi pendant quelques jours

As tu bien mis en quarantaine ce que t'a trouvé MalwareByte's Antimalware?

Si non refais un scan afin de mettre ce qu'il à trouvé en qurantaine et reposte moi le nouveau rapport.

Si oui fais ceci:

1°)Télécharge, installe et renomme Hijackthis.

• Tout est expliqué sur ce tuto ==> Comment installer et renommer correctement Hijackthis

2°)Fais moi un log HJT

• Coupe tout tes programmes en cours ainsi que tes pages internet. (Il ne faus plus rien en fonctionnement)
  
• Lance HJT.exe
  
• Clique sur "Do a system scan and save a logfile"
  
• Fais moi un copié/collé du document texte (le log HJT=rapport)qui se sera ouvert
  

Remarque: J'insiste sur un point surtout à ce stade. Fais à la lettre cette procédure.


Si tu rencontres un problème pendant l'utilisation de cette procédure. N'hésite surtout pas à venir m'en parler :rolleyes: .

A très bientôt
_________________
En vac, de retour dans quelques jours, soyez patient

[vh0711]

Salut!!

J'ai effectué l'analyse! Plus de virus!!

Un grand Merci!!!

[Haribo76]

Salut

Si tu veux t'arréter là c'est ton choix

Si c'est le cas dis le moi et je ferme le sujet étant résolu

++
_________________
En vac, de retour dans quelques jours, soyez patient

[vh0711]