Tom's Guide > Forum > Sécurité - Virus > [Résolu] Problème trojan Vundo (et autres???)

[Résolu] Problème trojan Vundo (et autres???)

Forum Sécurité - Virus : [Résolu] Problème trojan Vundo (et autres???)

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
cste1950   17-02-2008 à 21:54:46

Bonjour

J'ai quelques problèmes avec un (ou des) virus : TR/Vundo.Gen et Downloader.

Dernièrement, j'avais sur un clé usb UFO.EXE et autorun.inf. Je crois les avoir enlevés complètement, mais maintenant j'en doute.

Avant toute désinfection, je préfère vous prévenir. Il y a 2 logiciels peu connus sur l'ordi : Remote Administrator (de RADMIN) et iDVR (de SkyVision).
Je sais que AntiVir détecte svfp.dll comme étant un virus, mais c'est un faux-positif, ça appartient à iDVR.

Aussi, voyant qu'il y avait un virus sur l'ordi, j'ai désactivé Norton (que mon père a payé) et installé AntiVir (j'y fais plus confiance).

Merci!!


----------------------------
Je colle ici un rapport HijackThis, ca peut sûrement aider.
----------------------------

Rapport supprimé, car il n'est plus du tout à jour...


Message édité par cste1950 le 21-02-2008 à 01:29:52
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
XmichouX   18-02-2008 à 11:06:35
- 0 +

Tu as raison pour antivir et tu auras sûrement remarqué qu'il est "légèrement" plus léger :p

Télécharge Flash Disinfector (de sUBs) sur ton Bureau

Connecte tous les périphériques externes ( DD , USB , ..... )

Double clique sur Flash Disinfector et laisse toi guider.

*********

Télécharge et exécute : http://service1.symantec.com/SUPPO [...] 4110429924

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
cste1950   19-02-2008 à 00:32:20
- 0 +

Je te remercie de bien vouloir m'aider, mais malheureusement, l'ordi a complètement flanché :cry: . Il ne démarre même plus.

J'ai décidé de le formater au complet.

Si jamais il décidait de revenir à la vie avant le formatage, je reposterai un nouveau message pour une désinfection.

Merci encore XmichouX de m'avoir proposé ton aide.

Répondre à cste1950
XmichouX   19-02-2008 à 12:55:20
- 0 +

Re,

Tu n'as eu le temps de rien faire ?
Il ne démarre plus du tout ou tu peux accéder au mode sans échec ?

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
cste1950   20-02-2008 à 07:52:49
- 0 +

Re-bonjour,

J'ai résolu une partie du problème. Avant, l'ordi ne démarrait plus, même pas en mode sans échec. Il n'y avait plus rien à faire sur cet ordi.
Alors j'ai branché le disque dur sur un autre ordi sain. Au démarrage, ça a dit (selon ma mémoire...) que le disque dur était endommagé et que ça a été réparé. J'ai ensuite fait un scan avec AntiVir et il a supprimé quelques fichiers infectés par Vundo.

Après tout ça, retour du disque dur dans son boîtier original : ça fonctionne. J'ai fait scanner avec VundoFix et rien n'a été trouvé. J'ai aussi nettoyé avec CCleaner.

J'ai enlevé AntiVir car on m'a dit que c'était mauvais d'avoir 2 antivirus. La raison pour laquelle j'ai gardé Norton est que l'ordi en question est celui de mon père et qu'il a payé Norton.

Tout semble bien en ce moment, sauf que l'ordi est lent (plus que d'habitude). Il reste peut-être quelques intrus...
Je ne sais pas si UFO.EXE, autorun.inf ou Vundo sont encore là, alors je demande encore votre aide pour nettoyer mon ordi et mes clés usb.

Attention
Avant toute désinfection, je préfère vous prévenir. Il y a 2 logiciels peu connus sur l'ordi : Remote Administrator (de RAdmin) et iDVR (de SkyVision).
Je sais que certains logiciels détectent svfp.dll et Not-A-Virus.RemoteAdmin.Win32.RAdmin.21 (C:\WINDOWS\system32\r_server.exe) comme étant des virus, mais ce sont des faux-positifs.

Merci!!!


Message édité par cste1950 le 20-02-2008 à 08:27:42
Répondre à cste1950
cste1950   20-02-2008 à 08:38:44
- 0 +

Je viens d'essayer Flash Disinfector, mais rien de bon semble se produire.

Lorsque je double clique sur l'icône, une fenêtre s'ouvre et c'est écrit que l'écran peut s'éteindre temporairement. Je clique ok pour poursuivre.
À ce moment, toutes les icônes de mon bureau disparaissent, la lumière sur une de mes clé usb s'allume quelques secondes, puis s'éteint. Ensuite, il n'y a plus rien qui se produit. Toutes mes clés usb semblent inactives (aucune lumière) et mes icones ne sont toujours pas revenues. Ça a duré comme ça plusieurs minutes, puis, voyant que rien ne se produisait, j'ai décidé faire un redémarrage de l'ordi.

----------------

J'ai aussi fait un rapport HijackThis. Le voici :

----------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:27:02, on 2008-02-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\COMPAQ\CPQINET\CPQInet.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Daniel\Bureau\HijackThis 2.0.2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://store.presario.net/scripts/ [...] 01&lc=0c0c
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aw.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Support - {04E7CF4F-E4DE-4EC1-9519-BA21ADE4E8A9} - C:\Program Files\Internet Explorer\SIGNUP\Presario.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://store.presario.net/scripts/redirectors/presario/storeredir2.dll?s=consumerfav&c=3c01&lc=0c0c
O15 - Trusted Zone: http://*.w2.aw.ca
O16 - DPF: {0B1B7F9A-F92E-4F03-8E3A-58BD64D364D0} (EonUISpace Class) - http://w2.aw.ca/appeon/weblibrary_ax/weblibrary.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wi [...] 4294270311
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 8058 bytes

Répondre à cste1950
XmichouX   20-02-2008 à 10:32:55
- 0 +

Re,

Sûr que rien ne se passait avec Flash-disinfector?
ça met un peu de temps c'est normal ;)

Bon, sur ton rapport, pas d'infection visible, mais on va vérifier s'il n' y a pas de reste de Vundo.

Télécharge Combofix (de sUBs) sur ton Bureau.

Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
cste1950   20-02-2008 à 19:25:37
- 0 +

Je vais réessayer Flash Disinfector plus tard et je vais le laisser plus longtemps. Pour l'instant, je n'ai pas le temps.

Voici le rapport Combofix

---------------

ComboFix 08-02-20.2 - Daniel 2008-02-20 13:16:00.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.159 [GMT -5:00]
Endroit: C:\Documents and Settings\Daniel\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-20 to 2008-02-20 ))))))))))))))))))))))))))))))))))))
.

2008-02-20 00:07 . 2008-02-20 00:59 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-20 00:07 . 2008-02-20 00:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-20 00:03 . 2008-02-20 00:03 <REP> d-------- C:\Program Files\CCleaner
2008-02-20 00:02 . 2008-02-20 00:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-19 23:58 . 2008-02-19 23:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-19 23:39 . 2008-02-19 23:50 20,471 --a------ C:\WINDOWS\hpoins01.dat
2008-02-19 23:39 . 2003-04-05 22:24 16,618 --------- C:\WINDOWS\hpomdl01.dat
2008-02-19 23:34 . 1995-05-19 14:49 133,904 --a------ C:\WINDOWS\system\MFCANS32.DLL
2008-02-19 23:31 . 2001-10-11 03:21 76,000 --a------ C:\WINDOWS\system32\drivers\drvmcdb.sys
2008-02-19 23:31 . 2001-10-19 04:06 45,056 --a------ C:\WINDOWS\system32\besch.exe
2008-02-19 23:31 . 2001-10-19 04:06 28,672 --a------ C:\WINDOWS\system32\besched.dll
2008-02-19 22:39 . 2008-02-19 22:40 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-02-19 22:38 . 2008-02-19 22:38 <REP> d-------- C:\WINDOWS\Samsung
2008-02-19 22:21 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-02-19 22:19 . 2008-02-19 22:20 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-02-19 22:19 . 2008-02-19 22:19 <REP> d-------- C:\Program Files\Microsoft.NET
2008-02-19 22:13 . 2008-02-19 22:13 <REP> dr-h----- C:\MSOCache
2008-02-19 03:35 . 2008-02-19 03:35 <REP> d--hs---- C:\found.001
2008-02-19 01:48 . 2008-02-19 01:48 <REP> d--hs---- C:\found.000
2008-02-16 16:14 . 2008-02-19 21:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-15 13:40 . 2008-02-15 13:40 <REP> d-------- C:\WINDOWS\iDVR client
2008-02-15 13:40 . 2008-02-17 18:27 <REP> d-------- C:\iDVR
2008-02-15 13:29 . 2008-02-15 13:30 <REP> d-------- C:\Program Files\Radmin
2008-02-15 13:29 . 2001-07-24 10:15 241,664 --a------ C:\WINDOWS\system32\r_server.exe
2008-02-15 13:29 . 2000-07-10 07:06 90,112 --a------ C:\WINDOWS\system32\admdll.dll
2008-02-15 13:29 . 2000-07-08 01:29 29,408 --a------ C:\WINDOWS\system32\raddrv.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-20 06:06 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-02-20 04:52 --------- d-----w C:\Program Files\Hewlett-Packard
2008-02-20 02:39 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-14 06:20 --------- d-----w C:\Program Files\Norton Internet Security
2007-12-07 02:08 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 18:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-07-28 13:19 4841472]
"CPQEASYACC"="C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe" [2001-08-15 03:50 28672]
"srmclean"="C:\Cpqs\Scom\srmclean.exe" [2001-07-24 16:34 36864]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-30 10:31 49768]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2007-07-12 23:41 100056]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
hp psc 1000 series.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 01:17:18 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 18:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2003-07-28 13:19 323584 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Smapp]
--a------ 2001-05-31 12:32 224256 C:\WINDOWS\system32\SMTray.exe

R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 11:47]
R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-08-03 16:29]
R2 r_server;Remote Administrator Service;"C:\WINDOWS\system32\r_server.exe" [2001-07-24 10:15]
R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 15:28]
S1 EACMOS;EACMOS;C:\WINDOWS\system32\drivers\EACMOS.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dfad0e8e-dbf3-11dc-a8ff-0008020fd4f8}]
\Shell\Auto\command - Long.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Long.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-16 01:06:03 C:\WINDOWS\Tasks\aw et personnel.job"
- C:\Program Files\Stomp\Backup MyPC\System\bestart.exe
"2008-02-20 04:52:02 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1203483018.job"
- C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2008-02-16 02:45:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - Daniel.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-20 13:18:37
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-20 13:19:47
.
2008-02-14 13:29:30 --- E O F ---

Répondre à cste1950
XmichouX   20-02-2008 à 20:24:06
- 0 +

C'est propre, toujours des problèmes ..?

Supprime Long.exe qui se trouve dans C:\Windows\system32 sûrement sinon fais une recherche.

  • Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK


  • Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d’exploitation./Appliquer - - > OK


Supprime :
C:\found.001
C:\found.000

Puis reposte un Hijackthis

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
cste1950   21-02-2008 à 00:23:39
- 0 +

J'ai fait une recherche sur tout le disque dur et il n'a pas trouvé Long.exe

Par contre, tout le reste semble bien.
La lenteur que j'avais mentionné plus tôt est normale, selon mon père, qui utilise cet ordinateur régulièrement. Ça m'a semblé un peu lent car j'ai l'habitude d'utiliser un ordinateur beaucoup plus performant.

Voici un nouveau rapport HijackThis :

-------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:15, on 2008-02-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\COMPAQ\CPQINET\CPQInet.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Daniel\Bureau\HijackThis 2.0.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aw.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Support - {04E7CF4F-E4DE-4EC1-9519-BA21ADE4E8A9} - C:\Program Files\Internet Explorer\SIGNUP\Presario.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://store.presario.net/scripts/redirectors/presario/storeredir2.dll?s=consumerfav&c=3c01&lc=0c0c
O15 - Trusted Zone: http://*.w2.aw.ca
O16 - DPF: {0B1B7F9A-F92E-4F03-8E3A-58BD64D364D0} (EonUISpace Class) - http://w2.aw.ca/appeon/weblibrary_ax/weblibrary.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wi [...] 4294270311
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 7876 bytes

Répondre à cste1950
XmichouX   21-02-2008 à 00:52:49
- 0 +

Pas d'infection visible ;)

Pour le long, tu as fait la recherche après avoir affiché les dossiers cachés/système ?

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
cste1950   21-02-2008 à 01:27:34
- 0 +

Pour Long.exe, je l'ai fait rechercher dans tout le disque C: avec tout affiché, comme tu me l'as dit plus tôt. Mais si ce n'est pas une infection, ce n'est pas grave, il restera là.

Pour Flash Disinfector, je l'ai exécuté dans le mode sans échec. Comme l'autre fois, les icônes sont disparues et rien ne semblait se produire. Je me suis dit que ça pouvait être long, alors je l'ai laissé aller pendant environ 45 minutes, et rien n'avait bougé. Les icônes n'étaient toujours pas revenues.

Alors j'abandonne pour ce Flash Disinfector. Je vais plutôt formater toutes mes clés usb pour m'assurer que tout est propre.

Merci XmichouX pour ton aide ! :sol:

Répondre à cste1950
XmichouX   21-02-2008 à 01:29:11
- 0 +

Okay ;)

Bonne soirée et désolé de ne pas t'avoir vraiment aidé :p

Télécharge ToolsCleaner2( de A.Rothstein)

Installe le sur ton Bureau
Clique sur [Recherche] pour lancer le scan
Clique sur [Supprimer] pour nettoyer les outils utilisés
Clique sur [Quitter],

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > [Résolu] Problème trojan Vundo (et autres???)
Aller à :

Il y a 2246 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,344 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens