Tom's Guide > Forum > Sécurité - Virus > Infection par Virtumonde, popups, lo.st, etc ...

Infection par Virtumonde, popups, lo.st, etc ...

Forum Sécurité - Virus : Infection par Virtumonde, popups, lo.st, etc ...

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
barcalille   29-03-2009 à 12:20:52

Bonjour !

Une petite demande d'aide pour désinfecter mon PC SVP.

Les symptômes :
- ESET Nod32 me détecte des infections à chaque démarrage, parmi lesquelles : "IRC/SdBot trojan", "Win32/Adware.Virtumonde.NEO application", "a variant of Win32/Adware.Virtumonde.NEP application, "a variant of Win32/Adware.VirusRemover application", "a variant of Win32/Kryptik.KU application" et a variant of Win32/Kryptik.KU application".
- Des popups intempestifs à la fois sur Internet Explorer (que je n'utilise pas habituellement) et sur Firefox.
- Firefox me met à chaque démarrage qu'il a été mis à jour 'version 3.0.7) et change de page d'accueil pour http://lo.st#home.
- AdAware me trouve 5 objets infectés à l'heure où j'écris ces lignes, mais je n'ai pas encore le résultat.
- Un rundll32 tourne, mon Process Explorer me dit que c'est ""C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\polelure.dll",b".

Pour infos, je viens de supprimer "eoengine" via Ajout/Suppression de programmes, ainsi que le programme de contrôle parental "naomi".

En vous remerciant pour votre aide !

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Egwene   29-03-2009 à 12:25:38

:hello: Bonjour,

***Désactive tes protections résidentes pour télécharger et exécuter EDT***

Télécharge Egwene's Diagnostic Tool (EDT) et enregistre-le sur ton bureau.

  • Double-clique sur l'icône du fichier pour le lancer.
  • Un premier écran de choix va apparaître choisis "Français" puis valide par entrée.
  • Un deuxième écran de choix va apparaître : choisis "Listes blanches : on" puis valide par entrée.
  • Un troisième écran de choix va apparaître : choisis "Tout scanner" puis valide par entrée.
  • Un quatrième écran de choix va apparaître : choisis "30 jours" puis valide par entrée.

*** Laisse le programme travailler et ne fais rien d'autre pendant ce temps ***

  • Il se peut qu'un message d'erreur apparaisse une fois rendu à "Infos OS" : clique sur annuler.
  • Un rapport va s'ouvrir : poste-le sur le forum. Veille bien à ce qu'il soit complet.

*** Poste-le en plusieurs fois si nécessaire ***

N.B : Il se peut que ton antivirus détecte le composant Xproc.exe de EDT comme néfaste, rassure-toi c'est un processus légitime qu'utilise EDT. Ignore les éventuelles alertes de ton antivirus à son propos.

;)

------------------------------ Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité / Prévention
Répondre à Egwene
barcalille   29-03-2009 à 12:46:14

======================================= Egwene's Diagnostic Tool =======================================

LEPOUTRE
Scan lancé le 29/03/2009 à 12:34:19
Microsoft Windows XP Professional (5.1.2600) Service Pack 3
Internet Explorer: 6.0.2900.5512

A:\ [Removable] (Total:0 Mo/Free:0 Mo)
C:\ [Fixed] - NTFS - (Total:69994 Mo/Free:1393 Mo)
D:\ [Fixed] - NTFS - (Total:124472 Mo/Free:941 Mo)
E:\ [CD-Rom] (Total:0 Mo/Free:0 Mo)
G:\ [CD-Rom] (Total:0 Mo/Free:0 Mo)
H:\ [Removable] (Total:0 Mo/Free:0 Mo)

====== Processus (by Eric_71) ======



====== Internet Explorer ======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
"Default_Search_URL"=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
"Search Page"=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
"Enable_Disk_Cache"=yes
"Local Page"=%SystemRoot%\system32\blank.htm

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
"Local Page"=C:\WINDOWS\system32\blank.htm

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
"CustomizeSearch"=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=0 (0x0)
"User Agent"=Mozilla/4.0 (compatible; MSIE 6.0; Win32)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ActiveXCache"=C:\WINDOWS\Downloaded Program Files

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll - Microsoft Url Search Hook [ ]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt]
Exporter vers Microsoft Excel: @=res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{58ECB495-38F0-49cb-A538-10282ABF65E7}]
{E763472E-A716-4CD9-89BD-DBDA6122F741} - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - {FE7FA1AD-228E-438C-891D-D06FFC81D8A1} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{700259D7-1666-479a-93B1-3250410481E8}]
{A93C41D8-01F8-4F8B-B14C-DE20B117E636} - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - {FE7FA1AD-228E-438C-891D-D06FFC81D8A1} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}]
{E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}]
{1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - %windir%\Network Diagnostic\xpnetdiag.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}]
!{1FBA04EE-3024-11D2-8F1F-0000F87ABD16} - C:\Program Files\Messenger\msmsgs.exe

====== BHOs ======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347C33E-8762-4905-BF09-768834316C61}]
HP Print Enhancer - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll [02/03/2007 17:52 1298024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{053F9267-DC04-4294-A72C-58F732D338C0}]
HP Print Clips - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll [02/03/2007 17:52 177768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
(no-file)

====== RUN keys ======

====== Policies ======

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=145 (0x91)
"NoControlPanel"=0 (0x0)

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=145 (0x91)

====== 020s in HijackThis ======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa]

====== TCPIP (DNS Hijacked) ======

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DataBasePath"=%SystemRoot%\System32\drivers\etc
"DhcpNameServer"=192.168.1.1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B2700D48-E67C-4488-B598-5CA986E8DDE2}]
"DhcpNameServer"=192.168.1.1

====== Drivers 32 ======

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"=msh263.drv [14/04/2008 294912]
"VIDC.DIVX"=divx.dll [25/07/2008 683520]
"VIDC.XVID"=xvidvfw.dll [10/01/2008 159839]
"msacm.ac3acm"=ac3acm.acm [21/09/2007 118784]
"VIDC.FFDS"=ff_vfw.dll [12/06/2008 7680]
"wave1"=wdmaud.drv [14/04/2008 23552]
"midi1"=wdmaud.drv [14/04/2008 23552]
"mixer1"=wdmaud.drv [14/04/2008 23552]

====== Clés SafeBoot ======

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

====== DPF (016) ======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6414512B-B978-451D-A0D8-FCFDF33E833C}]
hoop://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226355415375

---Downloaded Program Files---
C:\WINDOWS\Downloaded Program Files\wuweb.inf [30/07/2007 20:24 293]

====== \..\Image File Execution Options ======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
"Debugger"=ntsd -d


====== \..\Installed Components ======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{4b218e3e-bc98-4770-93d3-2731b9329278}]
"StubPath"=%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection MarketplaceLinkInstall 896 %systemroot%\inf\ie.inf


====== Security Center ======

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
"C:\WINDOWS\system32\sessmgr.exe"=C:\WINDOWS\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
"C:\WINDOWS\Cyb2k.exe"=C:\WINDOWS\Cyb2k.exe:*:Enabled:CYBERsitter Control Panel
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook
"C:\Program Files\iTunes\iTunes.exe"=C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes
"C:\Program Files\Microsoft LifeCam\LifeCam.exe"=C:\Program Files\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe
"C:\Program Files\Microsoft LifeCam\LifeExp.exe"=C:\Program Files\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe
"C:\Program Files\Vsk5Online\Vsk5Online.exe"=C:\Program Files\Vsk5Online\Vsk5Online.exe:*:Enabled:Vsk5Online
"C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe"=C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe:*:Enabled:Kodak Software Updater
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"=C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
"C:\WINDOWS\explorer.exe"=C:\WINDOWS\explorer.exe:*:Enabled:Explorer
"C:\Program Files\Google\Update\GoogleUpdate.exe"=C:\Program Files\Google\Update\GoogleUpdate.exe:*:Enabled:GoogleUpdate
"C:\WINDOWS\system32\services.exe"=C:\WINDOWS\system32\services.exe:*:Enabled:services
"C:\Program Files\Skype\Phone\Skype.exe"=C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype
"C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe"=C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe:*:Enabled:mdm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
"C:\WINDOWS\system32\sessmgr.exe"=C:\WINDOWS\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"=C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger


====== HKLM\..\AeDebug ======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
"Auto"=0
"Debugger"=drwtsn32 -p %ld -e %ld -g



====== FireFox ======

Version: 3.0.7 (fr)
Dossier: C:\Program Files\Mozilla Firefox\

[.....Pref.js.....]

"browser.startup.homepage" = "http://lo.st#home"
"browser.startup.homepage_override.mstone" = "rv:1.9.0.4"
"browser.startup.homepage" = "http://lo.st#"
"browser.startup.homepage_override.mstone" = "rv:1.9.0.4"
"browser.startup.homepage" = "http://fr.msn.com/"
"browser.search.selectedEngine" = "Live Search"
"keyword.URL" = "http://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q="

[.....Extensions.....]

Nom = Diccionario de Español/España [26/10/2006 10:33 1297]
Path = C:\DOCUME~1\BORIS&~1\APPLIC~1\Mozilla\Firefox\profiles\tqzgc9t1.default\extensions\es-es@dictionaries.addons.mozilla.org\install.rdf

Nom = Adobe DLM (powered by getPlus(R)) [01/12/2008 12:01 948]
Path = C:\DOCUME~1\BORIS&~1\APPLIC~1\Mozilla\Firefox\profiles\tqzgc9t1.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\install.rdf

Nom = Skype extension for Firefox [04/02/2009 13:27 1157]
Path = C:\Program Files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\install.rdf

[.....Plugins.....]

C:\Program Files\Mozilla Firefox\Plugins\np_gp.dll [01/12/2008 12:01 114540]

[.....Plugins Registre.....]

[HKLM\software\mozillaplugins\@adobe.com/ShockwavePlayer]
"Description"=Adobe Shockwave Player
"Path"=C:\WINDOWS\system32\Adobe\Director\np32dsw.dll [16/01/2009 20:17 114688]
"Vendor"=Adobe Systems Inc

[HKLM\software\mozillaplugins\@tools.google.com/Google Update;version=7]
"Path"=C:\Program Files\Google\Update\1.2.141.5\npGoogleOneClick7.dll [12/02/2009 18:55 232432]
"Description"=Google Update
"Vendor"=Google


[.....Extensions Registre.....]

[HKEY_LOCAL_MACHINE\software\mozilla\firefox\extensions]
"jqs@sun.com"=C:\Program Files\Java\jre6\lib\deploy\jqs\ff

[HKEY_LOCAL_MACHINE\software\mozilla\mozilla firefox 3.0.7\extensions]
"Components"=C:\Program Files\Mozilla Firefox\components
"Plugins"=C:\Program Files\Mozilla Firefox\plugins

==>Trouvé dans extensions.ini :
Extension4=C:\Program Files\Java\jre6\lib\deploy\jqs\ff
[.....Fichiers/dossiers suspects.....]
(Suspect ne veut pas dire néfaste !!! )

C:\Documents and Settings\Boris [ ]
C:\Documents and Settings\Boris [ ]
C:\Documents and Settings\Boris [ ]


====== Liste de programmes ======

Windows Driver Package - Nokia Modem (02/15/2007 3.1)
Windows Driver Package - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0)
Ad-Aware
Adobe Acrobat 5.0
Adobe Flash Player 10 Plugin
Adobe Shockwave Player 11
AviSynth 2.5
Windows Driver Package - Nokia Modem (02/15/2007 3.1)
HP Imaging Device Functions 9.0
HP Photosmart Essential 2.01
HP Solution Center 9.0
HP Customer Participation Program 9.0
HP OCR Software 9.0
Hotfix for Windows XP (KB893470)
Windows XP - Software Updates
K-Lite Codec Pack 4.1.7 (Full)
Mozilla Firefox (3.0.7)
OpenAL
PhotoFiltre
Microsoft Office Professional Plus 2007
Shockwave Director 11.0.3
Videora iPod touch Converter 4.04
Windows Media Format 11 runtime
Installation Windows Live
Windows Media Format 11 runtime
Microsoft User-Mode Driver Framework Feature Pack 1.5
XML Paper Specification Shared Components Pack 1.0
YouTube Downloader App 1.01
DocProc
MarketingReg
Windows Live Messenger
TrayApp
Nokia Connectivity Cable Driver
MarketResearch
Copy
DeviceDiscovery
MSVCRT
7-Zip 4.57
Skype™ 4.0
Java(TM) 6 Update 11
WebReg
Microsoft .NET Framework 3.0 Service Pack 1
Scan
iTunes
J2SE Runtime Environment 5.0 Update 6
Safari
WebFldrs XP
Windows Live Communications Platform
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - FRA
HP Smart Web Printing
HPSSupply
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - FRA
UnloadSupport
Google Earth
Microsoft LifeCam
eSupportQFolder
Apple Software Update
Windows Media Player Firefox Plugin
CustomerResearchQFolder
Microsoft Visual C++ 2005 Redistributable
Installation Windows Live
Microsoft Corporation
VideoToolkit01
Windows Live Call
HP Photosmart Essential2.01
Picture Control Utility
DocProcQFolder
Choice Guard
Microsoft Software Update for Web Folders (French) 12
Microsoft Office Professional Plus 2007
Microsoft Office Access MUI (French) 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office InfoPath MUI (French) 2007
Microsoft Office Shared MUI (French) 2007
MobileMe Control Panel
Microsoft Application Error Reporting
PC Connectivity Solution
Segoe UI
Google Update Helper
HP Update
DeviceManagementQFolder
Adobe Reader 9 - Français
C4200_doccd
HPProductAssistant
AIO_Scan
HP Photosmart All-In-One Software 9.0
Microsoft .NET Framework 2.0 Service Pack 1
Windows Presentation Foundation
ESET NOD32 Antivirus
SolutionCenter
c4200_Help
C4200
Marvell Miniport Driver
getPlus(R) for Adobe
Destination Component
Nikon Message Center
PS_AIO_Software
Assistant de connexion Windows Live
Ad-Aware
BufferChm
PS_AIO_Software_min
Nikon Transfer
Toolbox
Apple Mobile Device Support
ViewNX
32 Bit HP CIO Components Installer
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
Visual C++ 9.0
PSSWCORE
QuickTime
Realtek AC'97 Audio
PS_AIO_ProductContext
Status
MSXML 6.0 Parser (KB925673)

======================================= Fin du rapport =======================================

Répondre à barcalille
Egwene   29-03-2009 à 13:00:12

Re,

Ton windows n'est pas légal, c'est une version crackée... probablement l'origine de l'infection...

Télécharge DDS de sUBs et sauvegarde-le sur ton bureau.

  • Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil. Ne double clique qu'une seule fois dessus, sois patient !
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt, garde l'autre sous la main si jamais je te le demande.


;)

------------------------------ Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité / Prévention
Répondre à Egwene
barcalille   29-03-2009 à 13:12:09

Il ne m'a pas demandé d'invite pour le scan optionnel, et m'a ouvert deux fichiers, DDS.txt, et Attach.txt.

 

Voici le contenu de DDS.txt :

 
Code :
  1. DDS (Ver_09-03-16.01) - NTFSx86 
  2. Run by Boris & Co at 13:09:27,50 on 29/03/2009
  3. Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_11
  4. Microsoft Windows XP Professional  5.1.2600.3.1252.33.1033.18.1023.585 [GMT 2:00]
  6. AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
  8. ============== Running Processes ===============
  10. C:\WINDOWS\system32\svchost -k DcomLaunch
  11. svchost.exe
  12. C:\WINDOWS\System32\svchost.exe -k netsvcs
  13. C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
  14. svchost.exe
  15. C:\WINDOWS\Explorer.EXE
  16. svchost.exe
  17. C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
  18. C:\WINDOWS\system32\spoolsv.exe
  19. C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
  20. C:\WINDOWS\SOUNDMAN.EXE
  21. C:\WINDOWS\vVX1000.exe
  22. C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
  23. C:\Program Files\iTunes\iTunesHelper.exe
  24. C:\Program Files\Java\jre6\bin\jusched.exe
  25. C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
  26. C:\Program Files\Google\Update\GoogleUpdate.exe
  27. C:\WINDOWS\system32\ctfmon.exe
  28. C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
  29. C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
  30. C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
  31. C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
  32. C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
  33. C:\Program Files\Java\jre6\bin\jqs.exe
  34. C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
  35. C:\Program Files\Microsoft LifeCam\MSCamS32.exe
  36. C:\WINDOWS\System32\svchost.exe -k HPZ12
  37. C:\WINDOWS\System32\svchost.exe -k HPZ12
  38. C:\WINDOWS\system32\svchost.exe -k imgsvc
  39. C:\Program Files\iPod\bin\iPodService.exe
  40. C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
  41. C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
  42. C:\Program Files\Mozilla Firefox\firefox.exe
  43. C:\Documents and Settings\Boris & Co\Desktop\dds.scr
  45. ============== Pseudo HJT Report ===============
  47. uSearch Bar = hxxp://search.msn.fr/spbasic.htm
  48. BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\program files\hp\smart web printing\hpswp_printenhancer.dll
  49. BHO: HP Print Clips: {053f9267-dc04-4294-a72c-58f732d338c0} - c:\program files\hp\smart web printing\hpswp_framework.dll
  50. BHO: Aide pour le lien d'Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
  51. BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
  52. BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
  53. BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
  54. BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
  55. BHO: {a0f8ab7a-fd58-4187-87a4-fc21a5d8dc67} - c:\windows\system32\majiriho.dll
  56. BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
  57. BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
  58. BHO: {c2ab4041-69fa-d30a-adc4-77be4305f0ae}: {ea0f5034-eb77-4cda-a03d-af961404ba2c} - c:\windows\system32\hmploj.dll
  59. uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
  60. mRun: [egui] "c:\program files\eset\eset nod32 antivirus\egui.exe" /hide /waitservice
  61. mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
  62. mRun: [SoundMan] SOUNDMAN.EXE
  63. mRun: [VX1000] c:\windows\vVX1000.exe
  64. mRun: [HP Software Update] c:\program files\hp\hp software update\HPWuSchd2.exe
  65. mRun: [C2K] c:\windows\Cyb2k.exe
  66. mRun: [AppleSyncNotifier] c:\program files\common files\apple\mobile device support\bin\AppleSyncNotifier.exe
  67. mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
  68. mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
  69. mRun: [EoEngine]
  70. mRun: [LifeCam] "c:\program files\microsoft lifecam\LifeExp.exe"
  71. mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
  72. mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
  73. mRun: [wejuregetu] Rundll32.exe "c:\windows\system32\tikiyabu.dll",s
  74. mRun: [10abd5d5] rundll32.exe "c:\windows\system32\polelure.dll",b
  75. mRun: [CPM1398e649] Rundll32.exe "c:\windows\system32\sibofuda.dll",a
  76. mRun: [Ad-Watch] c:\program files\lavasoft\ad-aware\AAWTray.exe
  77. dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
  78. StartupFolder: c:\docume~1\boris&~1\startm~1\programs\startup\nikonm~1.lnk - c:\program files\common files\nikon\monitor\NkMonitor.exe
  79. StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
  80. IE: E&xporter vers Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
  81. IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
  82. IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
  83. IE: {58ECB495-38F0-49cb-A538-10282ABF65E7} - {E763472E-A716-4CD9-89BD-DBDA6122F741} - c:\program files\hp\smart web printing\hpswp_extensions.dll
  84. IE: {700259D7-1666-479a-93B1-3250410481E8} - {A93C41D8-01F8-4F8B-B14C-DE20B117E636} - c:\program files\hp\smart web printing\hpswp_extensions.dll
  85. IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
  86. DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226355415375
  87. DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
  88. DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
  89. DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
  90. DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
  91. Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
  92. Notify: Antiwpa - antiwpa.dll
  93. AppInit_DLLs: c:\windows\system32\gayujoje.dll hmploj.dll c:\windows\system32\sibofuda.dll
  94. SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
  95. SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\sibofuda.dll
  96. STS: STS: {ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} - c:\windows\system32\sibofuda.dll
  97. LSA: Notification Packages = scecli c:\windows\system32\gayujoje.dll
  99. ================= FIREFOX ===================
  101. FF - ProfilePath -
  103. ============= SERVICES / DRIVERS ===============
  105. R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-3-29 64160]
  106. R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2007-11-14 30728]
  107. R2 ekrn;Eset Service;c:\program files\eset\eset nod32 antivirus\ekrn.exe [2007-11-14 455936]
  108. R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\lavasoft\ad-aware\AAWService.exe [2009-1-18 951632]
  109. S2 gupdate1c989f48a9848d2;Google Update Service (gupdate1c989f48a9848d2);c:\program files\google\update\GoogleUpdate.exe [2009-2-8 133104]
  110. S3 Boonty Games;Boonty Games;c:\program files\common files\boonty shared\service\Boonty.exe [2009-1-20 69120]
  111. S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\nos\bin\getPlus_HelperSvc.exe [2009-1-19 33752]
  113. =============== Created Last 30 ================
  115. 2009-03-29 12:30    <DIR>    --d-----    C:\EDT$
  116. 2009-03-29 12:25    15,688    a-------    c:\windows\system32\lsdelete.exe
  117. 2009-03-29 11:19    64,160    a-------    c:\windows\system32\drivers\Lbd.sys
  118. 2009-03-29 11:18    <DIR>    -cd-h---    c:\docume~1\alluse~1\applic~1\{83C91755-2546-441D-AC40-9A6B4B860800}
  119. 2009-03-29 11:18    <DIR>    --d-----    c:\program files\Lavasoft
  120. 2009-03-29 11:00    <DIR>    --d-----    c:\windows\pss
  121. 2009-03-27 19:19    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\Chat Republic Games
  122. 2009-03-26 16:06    124,928    a--sh---    c:\windows\system32\hmploj.dll
  123. 2009-03-25 14:45    124,928    a--sh---    c:\windows\system32\jyisdr.dll
  124. 2009-03-24 22:14    5,057    a-------    C:\gb.exe
  125. 2009-03-24 22:12    108,032    a-------    C:\bmf.exe
  126. 2009-03-22 23:17    410,984    a-------    c:\windows\system32\deploytk.dll
  127. 2009-03-22 23:17    73,728    a-------    c:\windows\system32\javacpl.cpl
  128. 2009-03-12 19:19    <DIR>    --d-----    c:\program files\PhotoFiltre
  129. 2009-03-03 22:31    1,409    a-------    c:\windows\system32\tmp54F5C.FOT
  130. 2009-03-03 21:58    205    a-------    c:\windows\disneysy.ini
  131. 2009-03-03 21:43    <DIR>    --d-----    c:\windows\Ubisoft
  132. 2009-03-03 21:42    21,840    a-------    c:\windows\system32\SIntfNT.dll
  133. 2009-03-03 21:42    17,212    a-------    c:\windows\system32\SIntf32.dll
  134. 2009-03-03 21:42    12,067    a-------    c:\windows\system32\SIntf16.dll
  135. 2009-03-03 21:41    <DIR>    --d-----    C:\Fichiers Programme
  136. 2009-03-03 21:37    736    a-------    c:\windows\disney.ini
  137. 2009-03-03 21:37    <DIR>    --d-----    c:\documents and settings\boris & co\WINDOWS
  138. 2009-03-03 20:46    22,335    a-------    c:\windows\emme.wri
  139. 2009-03-03 20:43    <DIR>    --d-----    C:\emme
  140. 2009-03-02 15:58    <DIR>    --d-----    c:\documents and settings\boris & co\Tracing
  141. 2009-03-02 15:14    <DIR>    --d-----    c:\program files\Train3D
  142. 2009-03-02 15:14    253,952    --------    c:\windows\Setup1.exe
  143. 2009-03-02 15:14    74,752    a-------    c:\windows\ST6UNST.EXE
  144. 2009-03-02 13:22    <DIR>    --d-----    c:\program files\Vstep
  146. ==================== Find3M  ====================
  148. 2009-03-29 10:52    79,872    a--sh---    c:\windows\system32\polelure.dll
  149. 2009-03-29 10:52    61,440    a--sh---    c:\windows\system32\fapumoke.exe
  150. 2009-03-29 10:52    84,992    a--sh---    c:\windows\system32\sibofuda.dll
  151. 2009-03-28 22:40    79,872    --------    c:\windows\system32\bibegipe.dll
  152. 2009-03-28 22:40    84,992    a--sh---    c:\windows\system32\juvuselu.dll
  153. 2009-03-28 22:40    61,440    a--sh---    c:\windows\system32\suwuwari.exe
  154. 2009-03-28 10:40    61,440    a--sh---    c:\windows\system32\wimesabi.exe
  155. 2009-03-28 10:40    79,872    --------    c:\windows\system32\wimesabi.dll
  156. 2009-03-27 19:06    79,872    a--sh---    c:\windows\system32\denufudu.dll
  157. 2009-03-27 19:06    84,992    a--sh---    c:\windows\system32\jepayala.dll
  158. 2009-03-26 16:06    124,928    a--sh---    c:\windows\system32\takavere.dll
  159. 2009-03-26 16:06    84,992    a--sh---    c:\windows\system32\bimefili.dll
  160. 2009-03-25 14:45    84,992    a--sh---    c:\windows\system32\fagonifa.dll
  161. 2009-03-25 14:45    124,928    a--sh---    c:\windows\system32\hufovora.dll
  162. 2009-03-14 14:17    20    ----h---    c:\docume~1\alluse~1\applic~1\PKP_DLdw.DAT
  163. 2009-03-14 14:15    20    ----h---    c:\docume~1\alluse~1\applic~1\PKP_DLdu.DAT
  164. 2009-02-06 19:52    49,504    a-------    c:\windows\system32\sirenacm.dll
  165. 1601-01-01 02:12    47,616    a--sh---    c:\windows\system32\gayujoje.dll
  166. 1601-01-01 02:12    47,616    a--sh---    c:\windows\system32\majiriho.dll
  167. 1601-01-01 02:12    47,616    a--sh---    c:\windows\system32\tikiyabu.dll
  169. ============= FINISH: 13:10:04,92 ===============


Message édité par barcalille le 29-03-2009 à 13:13:53
Répondre à barcalille
Egwene   29-03-2009 à 13:29:19

Re,

Tu n'as pas un OS légitime... non parce que ça sert à rien de désinfecter un OS cracké, tu seras constamment réinfecté :/

Message cité 1 fois
------------------------------ Prière de signaler si vous vous faites déjà aider sur un autre forum ou dans un autre topic.

Sécurité / Prévention
Répondre à Egwene
barcalille   29-03-2009 à 14:42:42

Re,

 

Je suis prêt à prendre le risque ;)

 

D'ailleurs, il a très bien fonctionné jusque tout récemment. Je crois plutôt à une action quelconque (installation de pseudo-freeware) qui a dû faire rentrer le premier malware et foutre le boxon comme ça!

 

Merci de ton aide.


Message édité par barcalille le 29-03-2009 à 14:44:26
Répondre à barcalille
JXenos   14-04-2009 à 15:02:38

Egwene a écrit :

Re,

Tu n'as pas un OS légitime... non parce que ça sert à rien de désinfecter un OS cracké, tu seras constamment réinfecté :/


_________________________________________________________
j'ai les mêmes symptômes que Bercadille, et je tourne sous XP tout ce qu'il y a de légal.
As-tu déjà rencontré le Pb ?
merci
José

Répondre à JXenos
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Infection par Virtumonde, popups, lo.st, etc ...
Aller à :

Il y a 2074 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,267 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens