Votre question

Incapable de me débarasser de Win32/Genetik trojan et de Virtumonde.O

Tags :
  • Scan
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Mars 2007 17:49:11

Quand je démarre mon PC voici les alertes que me donne NOD32, jai fait un scan en profondeur avec NOD32, j'ai fait un scan avec Spybot, Ccleaner et rien ne marche !


02/03/2007 11:11:25 Kernel file D:\WINDOWS\system32\qomlmlm.dll probably a variant of Win32/Genetik trojan

02/03/2007 11:11:24 Kernel file D:\WINDOWS\system32\vtstu.dll probably a variant of Win32/Adware.Virtumonde.O

Autres pages sur : incapable debarasser win32 genetik trojan virtumonde

a b 8 Sécurité
2 Mars 2007 17:51:02

Bonjour,

Infection Vundo, encore une :lol: 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    2 Mars 2007 18:56:18

    D:\WINDOWS\system32\utstv.ini
    D:\WINDOWS\system32\utstv.ini2
    D:\WINDOWS\system32\utstv.tmp
    D:\WINDOWS\system32\vtstu.dll


    Logfile of HijackThis v1.99.1
    Scan saved at 12:56:03, on 02/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Streamload\MediaMax XL\StreamloadService.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Eset\nod32kui.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    D:\Program Files\QuickTime\qttask.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Ad Muncher\AdMunch.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    D:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
    D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\Documents and Settings\STEVE\Mes documents\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.canoe.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
    O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - D:\WINDOWS\system32\qomlmlm.dll
    O2 - BHO: (no name) - {D26E6F93-23C4-4A1B-BEE3-84D4F99B622F} - D:\WINDOWS\system32\vtstu.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [EPSON Stylus CX4200 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEA.EXE /P26 "EPSON Stylus CX4200 Series" /O6 "USB001" /M "Stylus CX4200"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Ad Muncher] D:\Program Files\Ad Muncher\AdMunch.exe /bt
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_intercepted_by...
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://windowsvistatestdrive.com/ActiveX/VMRCActiveXCli...
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: qomlmlm - D:\WINDOWS\SYSTEM32\qomlmlm.dll
    O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\
    O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
    O23 - Service: Streamload Service (StreamloadService) - Streamload - D:\Program Files\Streamload\MediaMax XL\StreamloadService.exe

    Contenus similaires
    2 Mars 2007 18:59:00

    Je suppose que je doit cocher

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - D:\WINDOWS\system32\qomlmlm.dll
    O2 - BHO: (no name) - {D26E6F93-23C4-4A1B-BEE3-84D4F99B622F} - D:\WINDOWS\system32\vtstu.dll (file missing)
    O20 - Winlogon Notify: qomlmlm - D:\WINDOWS\SYSTEM32\qomlmlm.dll
    O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\

    ?
    a b 8 Sécurité
    2 Mars 2007 19:06:20

    Patiente pour le fix des lignes.

    Tu n'as pas posté le rapport vundofix.txt...
    2 Mars 2007 19:13:37

    Je n'ai pas le C:\vundofix.txt j'avais seulement dans le dossier Vundo addafile.txt
    2 Mars 2007 19:15:53

    Time Module Object Name Threat Action User Information
    02/03/2007 13:14:22 IMON file http://89.188.16.15/ths/lo1.dll?i=553&g=2c2cc868+8DAEBE... probably a variant of Win32/Adware.Virtumonde.O application FAMILLE-UA2JRHM\STEVE

    maintenant j'ai sa qui apparait, je fait Block Thread quand NOD32 me demander quoi faire
    2 Mars 2007 19:16:23

    sans le http://

    89.188.16.15/ths/lo1.dll?i=553&g=2c2cc868+8DAEBEE7822E4D999C293A5D1BC39C1F&u=e9b2fc68c68c11db93500015c55d3487&a=67162
    a b 8 Sécurité
    2 Mars 2007 19:19:02

    Re,

    - Lance Hijackthis ->Do a system scan only
    ->Coche les lignes ci-dessous :

    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - D:\WINDOWS\system32\qomlmlm.dll
    O2 - BHO: (no name) - {D26E6F93-23C4-4A1B-BEE3-84D4F99B622F} - D:\WINDOWS\system32\vtstu.dll (file missing)

    Clique sur Fix checked (en bas à gauche)

    1/ Télécharge The Avenger (par Swandog46) sur ton Bureau.
    Dézippe-le ensuite sur ton Bureau.

    2/ Copie tout le texte en rouge[/#f] ci-dessous :

    Citation :
    [#ff1c00]Files to delete:
    D:\WINDOWS\system32\qomlmlm.dll
    D:\WINDOWS\System32\mlmlmoq.bak
    D:\WINDOWS\System32\mlmlmoq.bak1
    D:\WINDOWS\System32\mlmlmoq.bak2
    D:\WINDOWS\System32\mlmlmoq.ini
    D:\WINDOWS\System32\mlmlmoq.ini1
    D:\WINDOWS\System32\mlmlmoq.ini2
    D:\WINDOWS\System32\mlmlmoq.tmp


    ---> Clique-droit puis Copier

    Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


    3/ Maintenant, lance The Avenger en cliquant sur l'icône présente sur le Bureau.
    Sous "Script file to execute" choisis "Input Script Manually".
    Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
    Dans cette fenêtre, colle le texte précedemment copié sur le bureau.
    Clique sur "Done"
    Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script.
    Réponds par "Yes" deux fois quand cela te sera demandé.

    4/ The Avenger va automatiquement faire ce qui suit :
    Il va redémarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger redémarrera votre système 2 fois)
    Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de Windows noire sur votre bureau, ceci est NORMAL.
    Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici : C:\avenger\backup.zip.

    5/ Pour finir copie/colle le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau rapport HijackThis.
    2 Mars 2007 19:25:17

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\enovabtb

    *******************

    Script file located at: \??\D:\Program Files\yoebiflr.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at D:\Avenger

    *******************

    Beginning to process script file:

    File D:\WINDOWS\system32\qomlmlm.dll deleted successfully.


    File D:\WINDOWS\System32\mlmlmoq.bak not found!
    Deletion of file D:\WINDOWS\System32\mlmlmoq.bak failed!

    Could not process line:
    D:\WINDOWS\System32\mlmlmoq.bak
    Status: 0xc0000034



    File D:\WINDOWS\System32\mlmlmoq.bak1 not found!
    Deletion of file D:\WINDOWS\System32\mlmlmoq.bak1 failed!

    Could not process line:
    D:\WINDOWS\System32\mlmlmoq.bak1
    Status: 0xc0000034



    File D:\WINDOWS\System32\mlmlmoq.bak2 not found!
    Deletion of file D:\WINDOWS\System32\mlmlmoq.bak2 failed!

    Could not process line:
    D:\WINDOWS\System32\mlmlmoq.bak2
    Status: 0xc0000034



    File D:\WINDOWS\System32\mlmlmoq.ini not found!
    Deletion of file D:\WINDOWS\System32\mlmlmoq.ini failed!

    Could not process line:
    D:\WINDOWS\System32\mlmlmoq.ini
    Status: 0xc0000034



    File D:\WINDOWS\System32\mlmlmoq.ini1 not found!
    Deletion of file D:\WINDOWS\System32\mlmlmoq.ini1 failed!

    Could not process line:
    D:\WINDOWS\System32\mlmlmoq.ini1
    Status: 0xc0000034



    File D:\WINDOWS\System32\mlmlmoq.ini2 not found!
    Deletion of file D:\WINDOWS\System32\mlmlmoq.ini2 failed!

    Could not process line:
    D:\WINDOWS\System32\mlmlmoq.ini2
    Status: 0xc0000034



    File D:\WINDOWS\System32\mlmlmoq.tmp not found!
    Deletion of file D:\WINDOWS\System32\mlmlmoq.tmp failed!

    Could not process line:
    D:\WINDOWS\System32\mlmlmoq.tmp
    Status: 0xc0000034


    Completed script processing.

    *******************

    Finished! Terminate.


    Logfile of HijackThis v1.99.1
    Scan saved at 13:24:48, on 02/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Eset\nod32krn.exe
    D:\Program Files\Eset\nod32kui.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    D:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Ad Muncher\AdMunch.exe
    D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Streamload\MediaMax XL\StreamloadService.exe
    D:\WINDOWS\system32\notepad.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
    D:\Documents and Settings\STEVE\Mes documents\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.canoe.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
    O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - D:\WINDOWS\system32\qomlmlm.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [EPSON Stylus CX4200 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEA.EXE /P26 "EPSON Stylus CX4200 Series" /O6 "USB001" /M "Stylus CX4200"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [DWQueuedReporting] "D:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Ad Muncher] D:\Program Files\Ad Muncher\AdMunch.exe /bt
    O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_intercepted_by...
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://windowsvistatestdrive.com/ActiveX/VMRCActiveXCli...
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: qomlmlm - qomlmlm.dll (file missing)
    O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
    O23 - Service: Streamload Service (StreamloadService) - Streamload - D:\Program Files\Streamload\MediaMax XL\StreamloadService.exe

    2 Mars 2007 19:27:30

    N.B.: R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

    J'avais oublier de cocher celui ci, maintenant c'est fait!
    a b 8 Sécurité
    2 Mars 2007 19:32:54

    Re,

    Fixe cette ligne :
    O20 - Winlogon Notify: qomlmlm - qomlmlm.dll (file missing)

    Télécharge Clean.zip (de Malekal),
    Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.
    2 Mars 2007 19:35:41

    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 02/03/2007 a 13:35:09,92

    *** Recherche de fichiers sur D:
    D:\StubInstaller.exe FOUND

    *** Recherche des fichiers dans D:\WINDOWS\

    *** Recherche des fichiers dans D:\WINDOWS\system32

    "D:\Program Files\PartyGaming\" FOUND
    "D:\Program Files\PartyGaming.Net\" FOUND
    *** Fin du rapport !
    2 Mars 2007 19:37:13

    J'ai trouver le rapport de Vundo que j'aurais du poster plus haut


    VundoFix V6.3.11

    Checking Java version...

    Java version is 1.5.0.3
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.11

    Scan started at 11:58:10 02/03/2007

    Listing files found while scanning....

    D:\WINDOWS\system32\utstv.ini
    D:\WINDOWS\system32\utstv.ini2
    D:\WINDOWS\system32\utstv.tmp
    D:\WINDOWS\system32\vtstu.dll

    Beginning removal...

    Attempting to delete D:\WINDOWS\system32\utstv.ini
    D:\WINDOWS\system32\utstv.ini Has been deleted!

    Attempting to delete D:\WINDOWS\system32\utstv.ini2
    D:\WINDOWS\system32\utstv.ini2 Has been deleted!

    Attempting to delete D:\WINDOWS\system32\utstv.tmp
    D:\WINDOWS\system32\utstv.tmp Has been deleted!

    Attempting to delete D:\WINDOWS\system32\vtstu.dll
    D:\WINDOWS\system32\vtstu.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    VundoFix V6.3.11

    Checking Java version...

    Java version is 1.5.0.3
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.11

    Scan started at 13:13:45 02/03/2007

    Listing files found while scanning....

    a b 8 Sécurité
    2 Mars 2007 19:42:30

    Re,

    Redémarre en mode sans échec

    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 2 puis patiente.

    Redémarre normalement

    - Poste le rapport clean : C:\rapport_clean.txt
    2 Mars 2007 19:49:22

    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 2, executee le 02/03/2007 a 13:45:52,42

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression de fichiers sur D:

    *** Suppression des fichiers dans D:\WINDOWS\

    *** Suppression des fichiers dans D:\WINDOWS\system32

    tentative de suppression de "D:\Program Files\PartyGaming\"

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !
    2 Mars 2007 19:51:50

    N.B.: J'avais supprimer manuellement

    D:\StubInstaller.exe
    D:\Program Files\PartyGaming.Net

    avant de redémarrer en mode sans échec et d'exécuter clean.cmd,
    il a supprimer mon PartyPoker en passant ... c'était un programme que j'utilisait..
    2 Mars 2007 19:56:39

    Un gros merci a toi Angeldark, est-ce la fin de l'infection ?
    a b 8 Sécurité
    2 Mars 2007 19:57:13

    PartyPoker est un programme qui ne respecte pas la confidentialité de ses utilisateurs.
    Après, tu fais comme tu veux.

    Reposte un rapport Hijackthis.
    2 Mars 2007 20:02:11

    Logfile of HijackThis v1.99.1
    Scan saved at 14:02:05, on 02/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Eset\nod32kui.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Ad Muncher\AdMunch.exe
    D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Streamload\MediaMax XL\StreamloadService.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\MSN Messenger\usnsvc.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Documents and Settings\STEVE\Mes documents\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.canoe.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
    O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - D:\WINDOWS\system32\qomlmlm.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [EPSON Stylus CX4200 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEA.EXE /P26 "EPSON Stylus CX4200 Series" /O6 "USB001" /M "Stylus CX4200"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Ad Muncher] D:\Program Files\Ad Muncher\AdMunch.exe /bt
    O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_intercepted_by...
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://windowsvistatestdrive.com/ActiveX/VMRCActiveXCli...
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
    O23 - Service: Streamload Service (StreamloadService) - Streamload - D:\Program Files\Streamload\MediaMax XL\StreamloadService.exe

    2 Mars 2007 20:03:33

    PartyPoker ne respecte pas la confidentialité de ses utilisateurs en quelle sens ?
    a b 8 Sécurité
    2 Mars 2007 20:06:47

    Bosse avec des entreprises de publicité.

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    2 Mars 2007 20:13:56

    Logfile of HijackThis v1.99.1
    Scan saved at 14:11:29, on 02/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Eset\nod32kui.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Ad Muncher\AdMunch.exe
    D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\Documents and Settings\STEVE\Mes documents\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.canoe.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
    O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - D:\WINDOWS\system32\qomlmlm.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [EPSON Stylus CX4200 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEA.EXE /P26 "EPSON Stylus CX4200 Series" /O6 "USB001" /M "Stylus CX4200"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Ad Muncher] D:\Program Files\Ad Muncher\AdMunch.exe /bt
    O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_intercepted_by...
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://windowsvistatestdrive.com/ActiveX/VMRCActiveXCli...
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe

    Est-ce que je devrais fixer ces lignes ?

    O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - D:\WINDOWS\system32\qomlmlm.dll (file missing)
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

    N.B.: La MAJ de Kaspersky est en cours ...
    a b 8 Sécurité
    2 Mars 2007 20:15:46

    On verra Hijackthis après ;) 
    2 Mars 2007 22:08:06

    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Friday, March 02, 2007 4:07:41 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 2/03/2007
    Enregistrements dans la base antivirus Kaspersky : 259946
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: standard
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    A:\
    C:\
    D:\
    E:\
    F:\

    Statistiques de l'analyse:
    Total d'objets analysés: 78761
    Nombre de virus trouvés: 0
    Nombre d'objets infectés: 0 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 01:50:05
    a b 8 Sécurité
    2 Mars 2007 22:10:26

    Re,

    Fixe ces lignes :
    O2 - BHO: (no name) - {C47A9554-195A-4769-9B13-04F15B450A39} - D:\WINDOWS\system32\qomlmlm.dll (file missing)
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)

    Toujours des problèmes ?
    2 Mars 2007 22:15:30

    Voici mon scan apres avoir fixer les lignes:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:14:36, on 02/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Eset\nod32kui.exe
    D:\WINDOWS\SOUNDMAN.EXE
    D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    D:\Program Files\MSN Messenger\MsnMsgr.Exe
    D:\Program Files\Ad Muncher\AdMunch.exe
    D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\MSN Messenger\usnsvc.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\WINDOWS\system32\wuauclt.exe
    D:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32Info.exe
    D:\Documents and Settings\STEVE\Mes documents\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.canoe.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [EPSON Stylus CX4200 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEA.EXE /P26 "EPSON Stylus CX4200 Series" /O6 "USB001" /M "Stylus CX4200"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Ad Muncher] D:\Program Files\Ad Muncher\AdMunch.exe /bt
    O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_intercepted_by...
    O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_intercepted_by...
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {4EFA317A-8569-4788-B175-5BAF9731A549} (Microsoft Virtual Server VMRC Advanced Control) - http://windowsvistatestdrive.com/ActiveX/VMRCActiveXCli...
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe

    Non, aucun problème, au faite, c'étais quoi ce virus ? Je veus dire, que fesait t'il?
    a b 8 Sécurité
    2 Mars 2007 22:17:16

    L'infection se nommait Vundo.
    Tu trouveras toutes les infos sur Google ;) 
    2 Mars 2007 22:18:01

    Merci a toi Angeldark d'avoir pris le temps de m'aider a regler ce problème. A+
    a b 8 Sécurité
    2 Mars 2007 22:19:48

    No problem ;) 
    2 Mars 2007 23:50:36

    Je vient tout juste de recevoir cette alerte .. NOD32 a placer le fichier en quarantaine et la supprimer mais c'est quand même inquietant, non ?

    Time Module Object Name Threat Action User Information
    02/03/2007 17:47:53 AMON file D:\System Volume Information\_restore{3B0DD0BC-BCFD-4804-9D8F-458C649256DB}\RP71\A0035032.dll probably a variant of Win32/Adware.Virtumonde.O application quarantined - deleted AUTORITE NT\SYSTEM Event occurred on a new file created by the application: D:\WINDOWS\System32\svchost.exe. The file was moved to quarantine. You may close this window.
    a b 8 Sécurité
    2 Mars 2007 23:51:25

    Non ;) 
    Désactive puis réactive la restauration du système.
    2 Mars 2007 23:52:45

    Désactive puis réactive la restauration du système? Tu veus dire de créer un point de restauration?
    2 Mars 2007 23:55:34

    Ok, c'est fait!
    a b 8 Sécurité
    2 Mars 2007 23:57:08

    Ca devrait être ok.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS