Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Attaque de virus :Trojan.Agent.AFSZ et Trojan.Vundo.DSF

 

1 utilisateur anonyme
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Attaque de virus :Trojan.Agent.AFSZ et Trojan.Vundo.DSF

Prévenir les modérateurs en cas d'abus 
Fremax
fremax
  1. Posté le 20/12/2007 à 03:28:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour à tous.
 j'ai "subi" une attaque hier d'un Troyan.
 Grâce au forum j'ai déjà pu enlever qq crasses.
 Mais voilà j'arrive pas aller plus loin et j'ai l'impression que ça se multiplie maintenant.


 Voici ce que j'ai fait dans les heures passées.


 1) j'ai infecté mon PC avec un fichier.exe
 2) j'ai lancé clean
 3) j'ai lancé MSNFix
 3) avec hijackthis j'ai fixé HKLM\..\Run: [Host Process]C:\WINDOWS\Fonts\svchost.exe
 4) J'ai lancé Bitdefender scan online et il m'a trouvé un .dll infecté que j'ai finalement pu effacer.
 5) maintenant il me reste qq fichiers qui me paraissent suspects: yabxv.exe et .dll , vxbay.in2, ...

 Tout aide sera le bien venu...

 Merci

  1. homepage
naheulbeuk7
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 20/12/2007 à 10:02:44  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
bonjour,

 Suis la procédure de désinfection de cet article :
 http://mickael.barroux.free.fr [...] sinfection

 et post moi les rapports combofix, virtumondobegone et vundofix stp ;)

 bonne journée :hello:


---------------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
(Publicité)
fremax
  1. Posté le 20/12/2007 à 14:38:38  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Aie aie aie,

 j'ai execute vundofix
 Il a trouve les 5 fichiers que je suspectais egalement d'etre infecte.
 Il a essaye de les effacer.
 Et bien que dans le log ils avaient theoriquement ete efface.  Ils etaient toujours present sur mon disque!
 Avant de continuer, j'ai efface avec regedit les entrees contenant une reference vers ces fameux fichiers infectes (yabxv.exe)  :whistle:
 Et maintenant apres redemarage, je ne peut plus rentrer dans Windows, car on me demande un mot de passe, qui auparavent n'etait pas active, et ceci meme en safe mode pour l'utilisateur administrateur!!!

 Je ne peux donc plus continuer avec cette machine!!!

 Que faire? :??:

 PS il y a une 2eme partition avec XP, qui elle fonctionne toujours, je pourrais donc eventuellement lancer des choses a partir de cette partition

  1. homepage
naheulbeuk7
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 20/12/2007 à 17:14:05  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
oula... pourquoi aller toucher la base de registre alors que j'allais te dire comment tout supprimer ? maintenant t'as plus qu'à sauvegarder tes données via l'autre partition et reformater... :S


---------------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
fremax
  1. Posté le 20/12/2007 à 23:26:26  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut naheulbeuk,

 j'ai reussi a debloquer le mot de passe. Mais par contre la partie User Acounts dans le Control Panel est vide...
 Et l'ordi est tres lent...

 Ceci dit, j'ai un Back Up du registre (fait avec CCleaner donc sans doutes incomplet) de juste avant mes bidouillages.
 Alors,
 Est-ce que je fais un restore?  Et est ce que tu veux bien encore m'aider?

 A+



(Publicité)
  1. homepage
naheulbeuk7
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 21/12/2007 à 07:26:28  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
ouais restaure et fais la procédure que je t'ai indiqué stp... ;)


---------------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
fremax
  1. Posté le 21/12/2007 à 12:39:56  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

 Bon bin c'est quand meme pas top ici... :(

 Vundofix ne fonctionne plus...erreur d'execution, etc..
 J'ai alors execute virtumundo et combifix.
 Ca a un peu ameliore l'etat de mon ordi mais il reste quand meme des problemes:
 Les user acounts sont toujours vides, Avast et Zonealarm ne demarent plus, et peut etre d'autres choses que je n'ai pas encore vues.

 Y a t'il de l'espoir?  Et si je dois tout reinstaller, est ce que je peut copier tout mon C sur un HD externe et recuperer plus tard ce dont j'ai besoin, sans risque de reinfection du C et de mon HD externe?

 Je poste quand meme les differents log ici:


 VIRTUMUNDO LOG:

 [12/21/2007, 10:34:27] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Owner\Desktop\Virtumu​ndoBeGone.exe" )
 [12/21/2007, 10:34:32] - Detected System Information:
 [12/21/2007, 10:34:32] -  Windows Version: 5.1.2600, Service Pack 2
 [12/21/2007, 10:34:32] -  Current Username: Owner (Admin)
 [12/21/2007, 10:34:32] -  Windows is in NORMAL mode.
 [12/21/2007, 10:34:32] - Searching for Browser Helper Objects:
 [12/21/2007, 10:34:32] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} (Adobe PDF Reader Link Helper)
 [12/21/2007, 10:34:32] -  BHO 2: {64F56FC1-1272-44CD-BA6E-39723​696E350} ()
 [12/21/2007, 10:34:32] - WARNING: BHO has no default name. Checking for Winlogon reference.
 [12/21/2007, 10:34:32] -  No filename found. Continuing.
 [12/21/2007, 10:34:32] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} (SSVHelper Class)
 [12/21/2007, 10:34:32] -  BHO 4: {97B14303-6B5D-434D-AB0D-629BE​871E93D} ()
 [12/21/2007, 10:34:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
 [12/21/2007, 10:34:33] -  No filename found. Continuing.
 [12/21/2007, 10:34:33] -  BHO 5: {AE7CD045-E861-484f-8273-0445E​E161910} (Adobe PDF Conversion Toolbar Helper)
 [12/21/2007, 10:34:33] -  BHO 6: {D38EB602-67FF-490C-938B-AC993​7FCAB57} ()
 [12/21/2007, 10:34:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
 [12/21/2007, 10:34:33] -  Checking for HKLM\...\Winlogon\Notify\yabxv
 [12/21/2007, 10:34:33] -  Key not found: HKLM\...\Winlogon\Notify\yabxv​, continuing.
 [12/21/2007, 10:34:33] - Finished Searching Browser Helper Objects
 [12/21/2007, 10:34:33] - Finishing up...
 [12/21/2007, 10:34:33] - Nothing found! Exiting...




 COMBOFIX LOG:

 ComboFix 07-12-20.1 - Owner 2007-12-21 10:59:29.1 - NTFSx86 MINIMAL
 Running from: C:\Documents and Settings\Owner\Desktop\ComboFi​x.exe
 .

 ((((((((((((((((((((((((((((((​(((((((((   Other Deletions   ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .

 C:\WINDOWS\Fonts\a.zip
 C:\WINDOWS\system32\pac.txt
 C:\WINDOWS\system32\paytime.ex​e
 C:\WINDOWS\system32\vxbay.ini
 C:\WINDOWS\system32\vxbay.ini2
 C:\WINDOWS\system32\yabxv.dll
 C:\WINDOWS\tool1.exe
 C:\WINDOWS\tool2.exe
 C:\WINDOWS\tool3.exe
 C:\WINDOWS\tool4.exe
 C:\WINDOWS\Fonts\'

 .
 (((((((((((((((((((((((((   Files Created from 2007-11-21 to 2007-12-21  ))))))))))))))))))))))))))))))​)
 .

 2007-12-21 11:10 . 2007-12-21 11:10 331,776 --------- C:\WINDOWS\system32\yabxv.dll
 2007-12-20 23:19 . 2007-12-21 11:13 335,360 --a------ C:\WINDOWS\system32\yabxv.exe
 2007-12-20 13:56 . 2007-12-20 13:56 24,576 --a------ C:\WINDOWS\system32\VundoFixSV​C.exe
 2007-12-20 10:21 . 2007-12-20 10:21 335,360 --a------ C:\WINDOWS\system32\RCX2D.tmp
 2007-12-20 02:53 . 2007-12-20 02:53 143 --a------ C:\WINDOWS\system32\mcrh.tmp
 2007-12-19 23:58 . 2007-12-20 02:14 <DIR> d-------- C:\WINDOWS\BDOSCAN8
 2007-12-19 23:35 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dl​l
 2007-12-19 23:35 . 2007-07-30 19:19 30,072 --a------ C:\WINDOWS\system32\mucltui.dl​l.mui
 2007-12-19 23:05 . 2007-12-19 23:05 <DIR> d-------- C:\Program Files\Trend Micro
 2007-12-19 20:00 . 2007-12-21 11:10 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
 2007-12-19 19:57 . 2007-12-19 19:57 147,456 --a------ C:\WINDOWS\system32\vbzip10.dl​l
 2007-12-19 19:45 . 2007-12-19 19:45 <DIR> d-------- C:\WINDOWS\system32\daSgo18
 2007-12-19 16:49 . 2007-12-19 16:49 <DIR> d-------- C:\Program Files\InterVideo Information Service
 2007-12-19 16:49 . 2007-12-19 16:49 <DIR> d-------- C:\Program Files\Common Files\Ulead
 2007-12-19 16:49 . 2006-05-11 18:41 654 --------- C:\WINDOWS\remove.iss
 2007-12-19 16:48 . 2007-12-19 16:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
 2007-12-19 16:44 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.d​ll
 2007-12-19 16:41 . 2007-12-19 16:44 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
 2007-12-17 15:49 . 2007-12-17 15:51 1,393 --a------ C:\WINDOWS\imsins.BAK
 2007-12-10 01:49 . 2007-12-10 01:49 0 --a------ C:\WINDOWS\pcfriend.INI
 2007-12-05 18:46 . 2007-12-05 18:46 <DIR> d-------- C:\Program Files\iTunes
 2007-12-05 18:46 . 2007-12-05 18:46 <DIR> d-------- C:\Program Files\iPod
 2007-12-05 08:27 . 2007-12-21 11:13 <DIR> d-------- C:\Program Files\QuickTime

 .
 ((((((((((((((((((((((((((((((​((((((((((   Find3M Report   ))))))))))))))))))))))))))))))​))))))))))))))))))))))
 .
 2007-12-21 10:14 1,669,152 --sha-w C:\WINDOWS\system32\drivers\fi​dbox.dat
 2007-12-21 10:12 352,256 ----a-w C:\WINDOWS\system32\ctfmon.exe
 2007-12-21 09:37 21,608 --sha-w C:\WINDOWS\system32\drivers\fi​dbox.idx
 2007-12-19 17:39 --------- d-----w C:\Documents and Settings\Owner\Application Data\Skype
 2007-12-19 15:49 --------- d--h--w C:\Program Files\InstallShield Installation Information
 2007-12-19 15:47 --------- d-----w C:\Program Files\InterVideo
 2007-12-19 09:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\as​wmon.sys
 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\as​wmon2.sys
 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\as​wRdr.sys
 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\as​wTdi.sys
 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aa​vmker4.sys
 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.ex​e
 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.sc​r
 2007-12-04 07:30 15,964,899 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
 2007-11-14 15:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
 2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dl​l
 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\se​cdrv.sys
 2007-11-08 12:36 --------- d-----w C:\Program Files\Timesheet Xpress
 2007-11-07 15:59 --------- d-----w C:\Program Files\Yahoo!
 2007-11-07 13:13 --------- d-----w C:\Program Files\Pure Invoice
 2007-11-06 12:54 --------- d-----w C:\Program Files\Red Ring Software
 2007-11-06 11:56 --------- d-----w C:\Documents and Settings\Owner\Application Data\Redcort
 2007-10-29 22:43 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
 2007-10-27 16:40 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
 2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
 2007-10-22 02:39 267,272 ----a-w C:\WINDOWS\system32\xactengine​2_10.dll
 2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_​2.dll
 2007-10-19 08:13 37,344 ----a-w C:\Documents and Settings\Owner\Application Data\GDIPFONTCACHEV1.DAT
 2007-10-12 14:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.d​ll
 2007-10-12 14:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompile​r_36.dll
 2007-10-02 08:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.​dll
 2007-02-01 15:29 20,649,498 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_02_0​1_16_18_30_full.dmp.zip
 2007-02-01 12:51 20,673,103 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_02_0​1_09_55_47_full.dmp.zip
 2006-12-23 15:36 20,549,967 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2006_12_2​2_19_38_28_full.dmp.zip
 2006-10-03 07:53 20,230,117 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2006_10_0​2_22_11_05_full.dmp.zip
 2006-09-11 10:47 20,159,468 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2006_09_1​1_10_51_25_full.dmp.zip
 2006-04-12 20:13 34,350 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_04_11_19_5​4_24_small.dmp.zip
 2005-06-10 10:31 14,454,434 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2005_06_10_12_2​9_58.dmp.zip
 .

 ((((((((((((((((((((((((((((((​(((((((   Reg Loading Points   ))))))))))))))))))))))))))))))​))))))))))))))))))))
 .
 .
 *Note* empty entries & legit default entries are not shown
 REGEDIT4

 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{20DAFE2D-D8E6-413E-AB16-E7DDE0FD04AF}]
 2007-12-21 11:10 331776 --------- C:\WINDOWS\system32\yabxv.dll

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "ctfmon.exe"="C:\WINDOWS\syste​m32\ctfmon.exe" [2007-12-21 11:12]
 "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2007-12-21 11:12]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 C:\WINDOWS\LOGI_MWX.EXE]
 "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr​.exe" [2007-12-21 10:32]
 "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe" [2007-12-21 11:13]
 "SunJavaUpdateSched"="C:\Progr​am Files\Java\jre1.6.0_03\bin\jus​ched.exe" [2007-12-21 11:13]
 "Acrobat Assistant 7.0"="C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2007-12-21 11:13]
 "avast!"="C:\PROGRA~1\ALWILS~1​\Avast4\ashDisp.exe" [2007-12-21 11:13]
 "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.e​xe" [2007-12-21 11:13]
 "TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched​.exe" [2007-12-21 11:13]
 "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-19 23:20]
 "ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateServ​ice\ISUSPM              .exe" [2007-12-21 11:13]
 "QuickTime Task"="C:\Program Files\QuickTime\qttask           .exe" [2007-12-21 11:13]
 "UnlockerAssistant"="C:\Progra​m Files\Unlocker\UnlockerAssista​nt        .exe" [2007-12-21 11:13]

 [HKEY_USERS\.DEFAULT\Software\M​icrosoft\Windows\CurrentVersio​n\Run]
 "CTFMON.EXE"="C:\WINDOWS\syste​m32\CTFMON.EXE" [2007-12-21 11:12]

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​policies\explorer]
 "NoToolbarCustomize"= 0 (0x0)
 "NoToolbarsOnTaskbar"= 0 (0x0)
 "NoBandCustomize"= 0 (0x0)
 "LockTaskbar"= 0 (0x0)

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows nt\currentversion\winlogon\notify\nnnonkj]
 nnnonkj.dll

 [HKEY_CURRENT_USER\software\mic​rosoft\windows nt\currentversion\windows]
 "load"=C:\WINDOWS\system32\yab​xv.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\services]
 "Adobe Version Cue CS2"=3 (0x3)
 "Adobe LM Service"=3 (0x3)
 "Bonjour Service"=2 (0x2)
 "Ati HotKey Poller"=2 (0x2)

 .
 Contents of the 'Scheduled Tasks' folder
 "2007-12-17 08:48:02 C:\WINDOWS\Tasks\AppleSoftware​Update.job"
 - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
 .
 ******************************​******************************​**************

 catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2007-12-21 11:13:58
 Windows 5.1.2600 Service Pack 2 NTFS

 scanning hidden processes ...

 scanning hidden autostart entries ...

 scanning hidden files ...

 C:\WINDOWS\system32\vxbay.ini 544 bytes
 C:\WINDOWS\system32\vxbay.ini2 544 bytes

 scan completed successfully
 hidden files: 2

 ******************************​******************************​**************
 .
 --------------------- DLLs Loaded Under Running Processes ---------------------

 PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
 -> C:\WINDOWS\system32\yabxv.dll
 .
 Completion time: 2007-12-21 11:16:14 - machine was rebooted [Owner]





 HIJACKTHIS LOG:

 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 12:29:34, on 21/12/2007
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v7.00 (7.00.6000.16574)
 Boot mode: Normal

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceS​ervice.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\HPZipm12.e​xe
 C:\WINDOWS\system32\slserv.exe
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\system32\ctfmon .exe
 C:\WINDOWS\Logi_MwX.Exe
 C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
 C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
 C:\Program Files\Java\jre1.6.0_03\bin\jus​ched .exe
 C:\WINDOWS\system32\rundll32.e​xe
 C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray .exe
 C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe
 C:\Program Files\Common Files\Real\Update_OB\realsched .exe
 C:\Program Files\Common Files\InstallShield\UpdateServ​ice\ISUSPM               .exe
 C:\Program Files\Unlocker\UnlockerAssista​nt         .exe
 C:\Program Files\Trend Micro\HijackThis\scanner.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.google.be/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-00902​71D4F88} - (no file)
 F3 - REG:win.ini: load=C:\WINDOWS\system32\yabxv​.exe
 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
 O2 - BHO: (no name) - {45BDC6E7-3D24-4D27-A424-AC5E7​502F143} - C:\WINDOWS\system32\yabxv.dll
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv​.dll
 O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445E​E161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l
 O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E​2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l
 O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
 O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr​.exe
 O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe
 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jus​ched.exe"
 O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
 O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as​hDisp.exe
 O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.e​xe"
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched​.exe"  -osboot
 O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
 O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateServ​ice\ISUSPM               .exe" -scheduler
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask            .exe" -atboottime
 O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssista​nt         .exe"
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
 O4 - HKUS\S-1-5-21-1606980848-13833​84898-854245398-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
 O4 - HKUS\S-1-5-21-1606980848-13833​84898-854245398-1003\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Global Startup: Logo Calibration Loader.lnk = C:\Program Files\GretagMacbeth\i1\Eye-One Match 3\CalibrationLoader\Calibratio​nLoader.exe
 O4 - Global Startup: ProfileReminder.lnk = C:\Program Files\GretagMacbeth\i1\Eye-One Match 3\ProfileReminder.exe
 O6 - HKCU\Software\Policies\Microso​ft\Internet Explorer\Control Panel present
 O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIECapture.html
 O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIEAppend.html
 O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIECaptureSelLinks.html
 O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIEAppendSelLinks.html
 O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIECapture.html
 O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIEAppend.html
 O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIECapture.html
 O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIEAppend.html
 O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Off​ice10\EXCEL.EXE/3000
 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv​.dll
 O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv​.dll
 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-08002​00c9a66} - C:\WINDOWS\bdoscandel.exe
 O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-08002​00c9a66} - C:\WINDOWS\bdoscandel.exe
 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O16 - DPF: {17492023-C23A-453E-A040-C7C58​0BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730​F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.co [...] oscan8.cab
 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF​33E833C} (WUWebControl Class) - http://update.microsoft.com/mi [...] 3389720108
 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA​91D2FC3} (MUWebControl Class) - http://update.microsoft.com/mi [...] 3389698036
 O16 - DPF: {826287F8-454E-11D9-ADFE-00062​919A34C} (ActiveXUploadFotoCom.UserCtrl​FotoCom) - http://express.foto.com/active [...] otoCom.CAB
 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB1​95A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens [...] ctivex.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{143759F9-DEF2-41B6-A4EA-0​C4FC3F02A75}: NameServer = 4.2.2.2,4.2.2.3
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{FC174463-DC21-4A80-A339-1​0A69CA686C5}: NameServer = 4.2.2.2,4.2.2.3
 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C​7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKY​PE4~1.DLL
 O20 - Winlogon Notify: nnnonkj - nnnonkj.dll (file missing)
 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceS​ervice.exe
 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
 O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 O23 - Service: BASIS License Manager (basis_lmgrd) - Macrovision Corporation - C:\BASIS\BASIS License Manager\basis_lmgrd.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\​Intel 32\IDriverT.exe
 O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
 O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.e​xe
 O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\v​smon.exe

 --
 End of file - 9717 bytes

fremax
  1. Posté le 21/12/2007 à 12:40:03  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

 Bon bin c'est quand meme pas top ici... :(

 Vundofix ne fonctionne plus...erreur d'execution, etc..
 J'ai alors execute virtumundo et combifix.
 Ca a un peu ameliore l'etat de mon ordi mais il reste quand meme des problemes:
 Les user acounts sont toujours vides, Avast et Zonealarm ne demarent plus, je ne peux plus deplacer des fichiers mais bien les effaccer, et peut etre d'autres choses que je n'ai pas encore vues.

 Y a t'il de l'espoir?  Et si je dois tout reinstaller, est ce que je peut copier tout mon C sur un HD externe et recuperer plus tard ce dont j'ai besoin, sans trop de risques de reinfection du C et de mon HD externe?

 Je poste quand meme les differents log ici:


 VIRTUMUNDO LOG:

 [12/21/2007, 10:34:27] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Owner\Desktop\Virtumu​ndoBeGone.exe" )
 [12/21/2007, 10:34:32] - Detected System Information:
 [12/21/2007, 10:34:32] -  Windows Version: 5.1.2600, Service Pack 2
 [12/21/2007, 10:34:32] -  Current Username: Owner (Admin)
 [12/21/2007, 10:34:32] -  Windows is in NORMAL mode.
 [12/21/2007, 10:34:32] - Searching for Browser Helper Objects:
 [12/21/2007, 10:34:32] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} (Adobe PDF Reader Link Helper)
 [12/21/2007, 10:34:32] -  BHO 2: {64F56FC1-1272-44CD-BA6E-39723​696E350} ()
 [12/21/2007, 10:34:32] - WARNING: BHO has no default name. Checking for Winlogon reference.
 [12/21/2007, 10:34:32] -  No filename found. Continuing.
 [12/21/2007, 10:34:32] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} (SSVHelper Class)
 [12/21/2007, 10:34:32] -  BHO 4: {97B14303-6B5D-434D-AB0D-629BE​871E93D} ()
 [12/21/2007, 10:34:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
 [12/21/2007, 10:34:33] -  No filename found. Continuing.
 [12/21/2007, 10:34:33] -  BHO 5: {AE7CD045-E861-484f-8273-0445E​E161910} (Adobe PDF Conversion Toolbar Helper)
 [12/21/2007, 10:34:33] -  BHO 6: {D38EB602-67FF-490C-938B-AC993​7FCAB57} ()
 [12/21/2007, 10:34:33] - WARNING: BHO has no default name. Checking for Winlogon reference.
 [12/21/2007, 10:34:33] -  Checking for HKLM\...\Winlogon\Notify\yabxv
 [12/21/2007, 10:34:33] -  Key not found: HKLM\...\Winlogon\Notify\yabxv​, continuing.
 [12/21/2007, 10:34:33] - Finished Searching Browser Helper Objects
 [12/21/2007, 10:34:33] - Finishing up...
 [12/21/2007, 10:34:33] - Nothing found! Exiting...




 COMBOFIX LOG:

 ComboFix 07-12-20.1 - Owner 2007-12-21 10:59:29.1 - NTFSx86 MINIMAL
 Running from: C:\Documents and Settings\Owner\Desktop\ComboFi​x.exe
 .

 ((((((((((((((((((((((((((((((​(((((((((   Other Deletions   ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .

 C:\WINDOWS\Fonts\a.zip
 C:\WINDOWS\system32\pac.txt
 C:\WINDOWS\system32\paytime.ex​e
 C:\WINDOWS\system32\vxbay.ini
 C:\WINDOWS\system32\vxbay.ini2
 C:\WINDOWS\system32\yabxv.dll
 C:\WINDOWS\tool1.exe
 C:\WINDOWS\tool2.exe
 C:\WINDOWS\tool3.exe
 C:\WINDOWS\tool4.exe
 C:\WINDOWS\Fonts\'

 .
 (((((((((((((((((((((((((   Files Created from 2007-11-21 to 2007-12-21  ))))))))))))))))))))))))))))))​)
 .

 2007-12-21 11:10 . 2007-12-21 11:10 331,776 --------- C:\WINDOWS\system32\yabxv.dll
 2007-12-20 23:19 . 2007-12-21 11:13 335,360 --a------ C:\WINDOWS\system32\yabxv.exe
 2007-12-20 13:56 . 2007-12-20 13:56 24,576 --a------ C:\WINDOWS\system32\VundoFixSV​C.exe
 2007-12-20 10:21 . 2007-12-20 10:21 335,360 --a------ C:\WINDOWS\system32\RCX2D.tmp
 2007-12-20 02:53 . 2007-12-20 02:53 143 --a------ C:\WINDOWS\system32\mcrh.tmp
 2007-12-19 23:58 . 2007-12-20 02:14 <DIR> d-------- C:\WINDOWS\BDOSCAN8
 2007-12-19 23:35 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dl​l
 2007-12-19 23:35 . 2007-07-30 19:19 30,072 --a------ C:\WINDOWS\system32\mucltui.dl​l.mui
 2007-12-19 23:05 . 2007-12-19 23:05 <DIR> d-------- C:\Program Files\Trend Micro
 2007-12-19 20:00 . 2007-12-21 11:10 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe
 2007-12-19 19:57 . 2007-12-19 19:57 147,456 --a------ C:\WINDOWS\system32\vbzip10.dl​l
 2007-12-19 19:45 . 2007-12-19 19:45 <DIR> d-------- C:\WINDOWS\system32\daSgo18
 2007-12-19 16:49 . 2007-12-19 16:49 <DIR> d-------- C:\Program Files\InterVideo Information Service
 2007-12-19 16:49 . 2007-12-19 16:49 <DIR> d-------- C:\Program Files\Common Files\Ulead
 2007-12-19 16:49 . 2006-05-11 18:41 654 --------- C:\WINDOWS\remove.iss
 2007-12-19 16:48 . 2007-12-19 16:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
 2007-12-19 16:44 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.d​ll
 2007-12-19 16:41 . 2007-12-19 16:44 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
 2007-12-17 15:49 . 2007-12-17 15:51 1,393 --a------ C:\WINDOWS\imsins.BAK
 2007-12-10 01:49 . 2007-12-10 01:49 0 --a------ C:\WINDOWS\pcfriend.INI
 2007-12-05 18:46 . 2007-12-05 18:46 <DIR> d-------- C:\Program Files\iTunes
 2007-12-05 18:46 . 2007-12-05 18:46 <DIR> d-------- C:\Program Files\iPod
 2007-12-05 08:27 . 2007-12-21 11:13 <DIR> d-------- C:\Program Files\QuickTime

 .
 ((((((((((((((((((((((((((((((​((((((((((   Find3M Report   ))))))))))))))))))))))))))))))​))))))))))))))))))))))
 .
 2007-12-21 10:14 1,669,152 --sha-w C:\WINDOWS\system32\drivers\fi​dbox.dat
 2007-12-21 10:12 352,256 ----a-w C:\WINDOWS\system32\ctfmon.exe
 2007-12-21 09:37 21,608 --sha-w C:\WINDOWS\system32\drivers\fi​dbox.idx
 2007-12-19 17:39 --------- d-----w C:\Documents and Settings\Owner\Application Data\Skype
 2007-12-19 15:49 --------- d--h--w C:\Program Files\InstallShield Installation Information
 2007-12-19 15:47 --------- d-----w C:\Program Files\InterVideo
 2007-12-19 09:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink
 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\as​wmon.sys
 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\as​wmon2.sys
 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\as​wRdr.sys
 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\as​wTdi.sys
 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aa​vmker4.sys
 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.ex​e
 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.sc​r
 2007-12-04 07:30 15,964,899 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
 2007-11-14 15:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
 2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dl​l
 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\se​cdrv.sys
 2007-11-08 12:36 --------- d-----w C:\Program Files\Timesheet Xpress
 2007-11-07 15:59 --------- d-----w C:\Program Files\Yahoo!
 2007-11-07 13:13 --------- d-----w C:\Program Files\Pure Invoice
 2007-11-06 12:54 --------- d-----w C:\Program Files\Red Ring Software
 2007-11-06 11:56 --------- d-----w C:\Documents and Settings\Owner\Application Data\Redcort
 2007-10-29 22:43 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
 2007-10-27 16:40 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
 2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
 2007-10-22 02:39 267,272 ----a-w C:\WINDOWS\system32\xactengine​2_10.dll
 2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_​2.dll
 2007-10-19 08:13 37,344 ----a-w C:\Documents and Settings\Owner\Application Data\GDIPFONTCACHEV1.DAT
 2007-10-12 14:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.d​ll
 2007-10-12 14:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompile​r_36.dll
 2007-10-02 08:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.​dll
 2007-02-01 15:29 20,649,498 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_02_0​1_16_18_30_full.dmp.zip
 2007-02-01 12:51 20,673,103 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_02_0​1_09_55_47_full.dmp.zip
 2006-12-23 15:36 20,549,967 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2006_12_2​2_19_38_28_full.dmp.zip
 2006-10-03 07:53 20,230,117 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2006_10_0​2_22_11_05_full.dmp.zip
 2006-09-11 10:47 20,159,468 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2006_09_1​1_10_51_25_full.dmp.zip
 2006-04-12 20:13 34,350 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_04_11_19_5​4_24_small.dmp.zip
 2005-06-10 10:31 14,454,434 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2005_06_10_12_2​9_58.dmp.zip
 .

 ((((((((((((((((((((((((((((((​(((((((   Reg Loading Points   ))))))))))))))))))))))))))))))​))))))))))))))))))))
 .
 .
 *Note* empty entries & legit default entries are not shown
 REGEDIT4

 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{20DAFE2D-D8E6-413E-AB16-E7DDE0FD04AF}]
 2007-12-21 11:10 331776 --------- C:\WINDOWS\system32\yabxv.dll

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "ctfmon.exe"="C:\WINDOWS\syste​m32\ctfmon.exe" [2007-12-21 11:12]
 "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2007-12-21 11:12]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 C:\WINDOWS\LOGI_MWX.EXE]
 "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr​.exe" [2007-12-21 10:32]
 "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe" [2007-12-21 11:13]
 "SunJavaUpdateSched"="C:\Progr​am Files\Java\jre1.6.0_03\bin\jus​ched.exe" [2007-12-21 11:13]
 "Acrobat Assistant 7.0"="C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2007-12-21 11:13]
 "avast!"="C:\PROGRA~1\ALWILS~1​\Avast4\ashDisp.exe" [2007-12-21 11:13]
 "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.e​xe" [2007-12-21 11:13]
 "TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched​.exe" [2007-12-21 11:13]
 "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-19 23:20]
 "ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateServ​ice\ISUSPM              .exe" [2007-12-21 11:13]
 "QuickTime Task"="C:\Program Files\QuickTime\qttask           .exe" [2007-12-21 11:13]
 "UnlockerAssistant"="C:\Progra​m Files\Unlocker\UnlockerAssista​nt        .exe" [2007-12-21 11:13]

 [HKEY_USERS\.DEFAULT\Software\M​icrosoft\Windows\CurrentVersio​n\Run]
 "CTFMON.EXE"="C:\WINDOWS\syste​m32\CTFMON.EXE" [2007-12-21 11:12]

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​policies\explorer]
 "NoToolbarCustomize"= 0 (0x0)
 "NoToolbarsOnTaskbar"= 0 (0x0)
 "NoBandCustomize"= 0 (0x0)
 "LockTaskbar"= 0 (0x0)

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows nt\currentversion\winlogon\notify\nnnonkj]
 nnnonkj.dll

 [HKEY_CURRENT_USER\software\mic​rosoft\windows nt\currentversion\windows]
 "load"=C:\WINDOWS\system32\yab​xv.exe

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\shared tools\msconfig\services]
 "Adobe Version Cue CS2"=3 (0x3)
 "Adobe LM Service"=3 (0x3)
 "Bonjour Service"=2 (0x2)
 "Ati HotKey Poller"=2 (0x2)

 .
 Contents of the 'Scheduled Tasks' folder
 "2007-12-17 08:48:02 C:\WINDOWS\Tasks\AppleSoftware​Update.job"
 - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
 .
 ******************************​******************************​**************

 catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2007-12-21 11:13:58
 Windows 5.1.2600 Service Pack 2 NTFS

 scanning hidden processes ...

 scanning hidden autostart entries ...

 scanning hidden files ...

 C:\WINDOWS\system32\vxbay.ini 544 bytes
 C:\WINDOWS\system32\vxbay.ini2 544 bytes

 scan completed successfully
 hidden files: 2

 ******************************​******************************​**************
 .
 --------------------- DLLs Loaded Under Running Processes ---------------------

 PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
 -> C:\WINDOWS\system32\yabxv.dll
 .
 Completion time: 2007-12-21 11:16:14 - machine was rebooted [Owner]





 HIJACKTHIS LOG:

 Logfile of Trend Micro HijackThis v2.0.2
 Scan saved at 12:29:34, on 21/12/2007
 Platform: Windows XP SP2 (WinNT 5.01.2600)
 MSIE: Internet Explorer v7.00 (7.00.6000.16574)
 Boot mode: Normal

 Running processes:
 C:\WINDOWS\System32\smss.exe
 C:\WINDOWS\system32\winlogon.e​xe
 C:\WINDOWS\system32\services.e​xe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\system32\svchost.ex​e
 C:\WINDOWS\System32\svchost.ex​e
 C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceS​ervice.exe
 C:\WINDOWS\System32\svchost.ex​e
 C:\WINDOWS\system32\HPZipm12.e​xe
 C:\WINDOWS\system32\slserv.exe
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\system32\ctfmon .exe
 C:\WINDOWS\Logi_MwX.Exe
 C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
 C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
 C:\Program Files\Java\jre1.6.0_03\bin\jus​ched .exe
 C:\WINDOWS\system32\rundll32.e​xe
 C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray .exe
 C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe
 C:\Program Files\Common Files\Real\Update_OB\realsched .exe
 C:\Program Files\Common Files\InstallShield\UpdateServ​ice\ISUSPM               .exe
 C:\Program Files\Unlocker\UnlockerAssista​nt         .exe
 C:\Program Files\Trend Micro\HijackThis\scanner.exe

 R0 - HKCU\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://www.google.be/
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Default_Search_U​RL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Intern​et Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-00902​71D4F88} - (no file)
 F3 - REG:win.ini: load=C:\WINDOWS\system32\yabxv​.exe
 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7​D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
 O2 - BHO: (no name) - {45BDC6E7-3D24-4D27-A424-AC5E7​502F143} - C:\WINDOWS\system32\yabxv.dll
 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF​1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv​.dll
 O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445E​E161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l
 O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E​2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l
 O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
 O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr​.exe
 O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh​.exe
 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jus​ched.exe"
 O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
 O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\as​hDisp.exe
 O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.e​xe"
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched​.exe"  -osboot
 O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
 O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateServ​ice\ISUSPM               .exe" -scheduler
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask            .exe" -atboottime
 O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssista​nt         .exe"
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
 O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
 O4 - HKUS\S-1-5-21-1606980848-13833​84898-854245398-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
 O4 - HKUS\S-1-5-21-1606980848-13833​84898-854245398-1003\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
 O4 - Global Startup: Logo Calibration Loader.lnk = C:\Program Files\GretagMacbeth\i1\Eye-One Match 3\CalibrationLoader\Calibratio​nLoader.exe
 O4 - Global Startup: ProfileReminder.lnk = C:\Program Files\GretagMacbeth\i1\Eye-One Match 3\ProfileReminder.exe
 O6 - HKCU\Software\Policies\Microso​ft\Internet Explorer\Control Panel present
 O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIECapture.html
 O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIEAppend.html
 O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIECaptureSelLinks.html
 O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIEAppendSelLinks.html
 O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIECapture.html
 O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIEAppend.html
 O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIECapture.html
 O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dl​l/AcroIEAppend.html
 O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Off​ice10\EXCEL.EXE/3000
 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv​.dll
 O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401​C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv​.dll
 O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-08002​00c9a66} - C:\WINDOWS\bdoscandel.exe
 O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-08002​00c9a66} - C:\WINDOWS\bdoscandel.exe
 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba3​8496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04​F795683} - C:\Program Files\Messenger\msmsgs.exe
 O16 - DPF: {17492023-C23A-453E-A040-C7C58​0BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730​F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.co [...] oscan8.cab
 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF​33E833C} (WUWebControl Class) - http://update.microsoft.com/mi [...] 3389720108
 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA​91D2FC3} (MUWebControl Class) - http://update.microsoft.com/mi [...] 3389698036
 O16 - DPF: {826287F8-454E-11D9-ADFE-00062​919A34C} (ActiveXUploadFotoCom.UserCtrl​FotoCom) - http://express.foto.com/active [...] otoCom.CAB
 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB1​95A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens [...] ctivex.cab
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{143759F9-DEF2-41B6-A4EA-0​C4FC3F02A75}: NameServer = 4.2.2.2,4.2.2.3
 O17 - HKLM\System\CCS\Services\Tcpip​\..\{FC174463-DC21-4A80-A339-1​0A69CA686C5}: NameServer = 4.2.2.2,4.2.2.3
 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C​7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKY​PE4~1.DLL
 O20 - Winlogon Notify: nnnonkj - nnnonkj.dll (file missing)
 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceS​ervice.exe
 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
 O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
 O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
 O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
 O23 - Service: BASIS License Manager (basis_lmgrd) - Macrovision Corporation - C:\BASIS\BASIS License Manager\basis_lmgrd.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\​Intel 32\IDriverT.exe
 O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
 O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.e​xe
 O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\v​smon.exe

 --
 End of file - 9717 bytes

(Publicité)
  1. homepage
naheulbeuk7
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 21/12/2007 à 18:39:47  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
bonsoir, :)

 au pire sauvegarde les fichiers de tes documents sur disque dur externe comme ca si tu dois reformater t'es tranquille :super:

 fais ceci dans l'ordre et en entier :

 Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!

 1/ relance hijackthis et coche les cases devant ces lignes (si présentes) :

 



F3 - REG:win.ini: load=C:\WINDOWS\system32\yabxv​.exe
 O2 - BHO: (no name) - {45BDC6E7-3D24-4D27-A424-AC5E7​502F143} - C:\WINDOWS\system32\yabxv.dll
 O20 - Winlogon Notify: nnnonkj - nnnonkj.dll (file missing)




 Puis ferme toutes les autres fenêtres autres que hijackthis et clic sur "fix checked"

 2/ ferme hijackthis

 3/ Télécharge ComboFix (créé par sUBs) sur ton Bureau

 Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

 



Registry::
 [-HKEY_LOCAL_MACHINE\software\m​icrosoft\windows nt\currentversion\winlogon\notify\nnnonkj]

 File::
 C:\WINDOWS\system32\yabxv.exe
 C:\WINDOWS\system32\yabxv.dll
 C:\WINDOWS\system32\nnnonkj.dl​l
 C:\WINDOWS\system32\vxbay.ini
 C:\WINDOWS\system32\vxbay.ini2





 -Enregistre ce fichier dans: Bureau
 -Nom du fichier : CFScript
 -Type du fichier : tous les fichiers
 -clique sur Enregistrer
 -quitte le Bloc Notes


 

  • Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 http://img.photobucket.com/alb​ums/v666/sUBs/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.

* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

 bonne soirée :hello:


---------------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
fremax
  1. Posté le 22/12/2007 à 01:45:10  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonne nuit!!

 Bon ca va pas beaucoup mieux. :pleure:
 J'ai execute la premiere commande avec Hijackthis.
 Ca c'est bien passe.
 Mais la 2eme est impossible a faire.  Je n'arrive plus a faire un drag and drop sur mon ordi.
 En plus apparement plusieurs driver ont disparus: je n'ai plus d'imprimantes, mon USB stick n'etait plus reconnus,...
 Je crois que tout est assez desespere maintenant. :pt1cable:

 J'ai fait une Copie des dossiers les plus importants a partir de l'autre partition et j'ai encore un BU d'il y a qq jours.

 donc j'ai encore rien perdu sauf du temps...et un peu du tiens.

 Y a t il encore autre chose a essayer avant de reformater la partition C: ?

 J'ai aussi deja pas mal lu les infos sur ton site.  Et j'ai une question; tu recomande antivir, mais est ce que cet AV scan les mails entrant? et si non stop t il les virus si on execute un mail infecte? ou faut il scanner chaque attachement manuellement avant de les ouvrir?

 A+  :sleep:

  1. homepage
naheulbeuk7
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 22/12/2007 à 13:34:40  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
coucou, ah ben reformates si tu perds rien comme ca t'auras tout propre :p

 et antivir ne scan pas les mails entrants mais la protection résidente d'antivir scan en temps réel les pièces jointes ouvertes donc c'est nickel :super:

 tiens moi au jus et bon week end :hello:


---------------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
(Publicité)
fremax
  1. Posté le 23/12/2007 à 14:46:12  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
OK je ferai ça.

 Maintenant je pars pour 1 semaine, je te tiendrai donc au courrant + tard

 Bonne fêtes

 F  :)

  1. homepage
naheulbeuk7
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 25/12/2007 à 12:57:26  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
ok bonnes fetes à toi aussi :super:


---------------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
fremax
  1. Posté le 07/01/2008 à 00:32:48  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
voilà
 qq jours plus tard et tout mon PC est réinstallé avec succès!
 Il est tout beau tout propre et je n'ai rien perdu grâce à mes multiple BU.
 Merci pour tout et je suivrai désormais tous tes conseils de ton site.

(Publicité)
  1. homepage
naheulbeuk7
Membre impliqué (de 20 000 à 29 999 messages postés)
  1. Posté le 07/01/2008 à 16:32:04  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
bonjour, je suis ravi pour toi et espère ne pas te revoir de si tôt (pour ton bien :whistle: )

 au plaisir et bonne continuation :hello:


---------------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
 Page :
1

Aller à :
 

Sujets relatifs
trojan vundo [resolu] attaque de trojan downloader
Attaque Winantivirus http lop toolbar activity tentative d'attaque permanente
attaqué par HTTP LOP Toolbar Activity Infecté par un trojan Win32:Agent-ISI[trj]
encor ce trojan virus ou autre ? malgrès le blocage trafic internet continue
Plus de sujets relatifs à : Attaque de virus :Trojan.Agent.AFSZ et Trojan.Vundo.DSF

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
rien ne s'affiche sur mon bureau ? 9
ads served by dcads [résolu] 10
les pages s'affichent lentement [résolu] 52
problème de lenteur de pc, bruit, pubs...(résolu) 17
SearchSettings [résolu] 6