Mon PC Infecté Par Trojan:Win32/Vundo.IG

[younes]

Je travaille sous vista avec mon nouveau Pc portable Hp Pavillon que je viens d'acheter il y'a meme pas 20 Jours et j'ai comme antivirus Norton et y'a aussi un certain windows defender qui as détecté il y'a quelques jours un virus nommé : Trojan:Win32/Vundo.IG , J'ai essayé de le supprimer mais ca n'a pas marché , hier j'ai cherché sur mon Pc de bureau une solution pour le supprimer j'ai trouvé sur un site qu'en téléchargent Spyware Doctor ca peut etre effcace mais quand je l'ai lancé il me demande la licence pour pouvoir supprimé ce virus , aujourd'hui j'ai lancé mon Norton Internet Security , il l'a detecté , D'apres ce que je vois il le supprime puis il me demande de redemarrer mon Pc dès que je le redemarre le windows defender le redetecte .

J'ai vu sur votre forum le meme probleme pour que j'utilise un certain VundoFix mais ce dernier ne m'a rien detecté ;

Juste pour vous dire je crois que à cause de ce virus beaucoup de programme se ferment tous seuls je ne sais pas pourquoi surtout que c'est la premiere fois que j'utilise le windows vista je trouve des difficultés pour manipuler ce dernier .

Alors je vous prie de m'aider pour régler tous mes problemes & MERC D'AVANCE

[benny19]

Je ne sais pas si ça va t'aider, mais il faut savoir que si on ne désactive pas la restauration système (effacer tous les points de restaurations) l'antivirus redétecte le virus dans les points de restaurations... Tu désactives, tu fais une analyse antivirus et tu élimines et tu relances la restauration, tu refais un scan complet antivirus et normalement plus rien ne devrait être trouvé

[nardino]

Bonsoir.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Lien de secours
http://www.clubic.com/telecharger-fiche ... dofix.html

• * Clique droit sur VundoFix.exe afin de le lancer et choisis En tant qu'administrateur.
  * Clique sur le bouton Scan for Vundo
  * Lorsque le scan est complété, clique sur le bouton Remove Vundo si il a trouvé quelque chose.
  * Une invite te demandera si tu veux supprimer les fichiers, clique YES
  * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage;
il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Télécharge et installe Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. Clique sur "Terminer"
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free, clique sur OK.
Laisse les Mises à jour se télécharger et referme le programme.

Redémarre en "Mode sans échec"

Lance Malwarebyte's Anti-Malware
Onglet "Recherche", coche Exécuter un examen complet et Rechercher
Sélectionne ton disque dur et clique sur Lancer l'examen

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection
Redémarre en mode normal et poste le rapport.
Il se trouve dans l'onglet Rapports/Logs avec la date et l'heure d'éxécution
Un tutoriel pour ce programme

http://forum.pcastuces.com/malwarebytes ... -f31s3.htm

@+

[younes]

Bonsoir.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
Lien de secours
http://www.clubic.com/telecharger-fiche ... dofix.html

• * Clique droit sur VundoFix.exe afin de le lancer et choisis En tant qu'administrateur.
  * Clique sur le bouton Scan for Vundo
  * Lorsque le scan est complété, clique sur le bouton Remove Vundo si il a trouvé quelque chose.
  * Une invite te demandera si tu veux supprimer les fichiers, clique YES
  * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage;
il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Télécharge et installe Malwarebyte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. Clique sur "Terminer"
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free, clique sur OK.
Laisse les Mises à jour se télécharger et referme le programme.

Redémarre en "Mode sans échec"

Lance Malwarebyte's Anti-Malware
Onglet "Recherche", coche Exécuter un examen complet et Rechercher
Sélectionne ton disque dur et clique sur Lancer l'examen

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection
Redémarre en mode normal et poste le rapport.
Il se trouve dans l'onglet Rapports/Logs avec la date et l'heure d'éxécution
Un tutoriel pour ce programme

http://forum.pcastuces.com/malwarebytes ... -f31s3.htm

@+

J'ai déja telechargé VundoFix cet apres-midi je l'ai lancé comme tu as dis car jai déja trouvé ca sur un autre sujet mais ca n'a rien trouvé , La je refait le scan et je te dis quoi apres mais pour le rapport le copier coller et le HijackThis j'ai rien pigé j'ai meme pas aucun programme nommé HijackThis

Merci de m'aider & Dsl du dérangement

[younes]

Je ne sais pas si ça va t'aider, mais il faut savoir que si on ne désactive pas la restauration système (effacer tous les points de restaurations) l'antivirus redétecte le virus dans les points de restaurations... Tu désactives, tu fais une analyse antivirus et tu élimines et tu relances la restauration, tu refais un scan complet antivirus et normalement plus rien ne devrait être trouvé

Merci pour ton aide toi aussi mais je n'ai rien compris de ce que tu as dis ????

[younes]

Je viens de refaire le scan avec VundoFix mais il ne m'a rien trouvé .

[nardino]

Bonsoir
Pour Hijackthis voici l'explication :
Mes réponses sont bien entendues préparées, je ne vais pas m'amuser à retaper à chaque fois une procédure.
Nous appelons cela des canned speeches, mais comme c'est à peu près intraduisible en français sinon par discours en conserves j'ai donc oublé de supprimer ce qui concerne Hijackthis.
Cependant comme cela peut permettre aussi de détecter ceratines anomalies du ssystème, je t'invite à appliquer ce qui suit en plus du reste.

Télécharge Hijackthis de Trend Micro:
http://www.trendsecure.com/portal/en-US ... e=download
Installes-le.
Il sera dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe

• Lances-le par Do a system scan and save a logfile.
  A la fin du scan, un blocnote va s'ouvrir, enregistre le sous HJT1.txt.
  Puis sans le fermer :
  • CTRL+A pour tout sélectionner
    CTRL+C pour copier
    CTRL+V pour coller dans la réponse
  Tu le refermes pour le moment.
  Tu attends les résultats de l'analyse.

Important : Sous Vista, clic droit sur le fichier Hijackthis.exe ou sur le raccourci, Propriétés, Onglet Compatibilité, cocher :
"Exécuter ce programme en tant qu'administrateur"

@+

[nardino]

Re,
Fais Malwarebytes.
@+

[younes]

Voila ce que ca a donné le resultat du scan avec HijackThis d'apres le documment qui sort tous seul durant le scan , mais j'ai rien pigé de ca

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:36, on 27/08/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\DigitalPersona\Bin\DpHostW.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\DigitalPersona\Bin\DpAgent.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\explorer.exe
c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\wuauclt.exe
C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Windows\system32\conime.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\ieuser.exe
c:\program files\aol\aol toolbar 5.0\AolTbServer.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [DpAgent] C:\Program Files\DigitalPersona\Bin\dpagent.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Defy Tick] "C:\ProgramData\First flag flag.02lods"
O4 - HKCU\..\Run: [Amok Mode Dupe Platform] "C:\ProgramData\grid team rule.1s0hp"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\user\AppData\Local\Temp\geBstsqq.dll,#1
O4 - HKCU\..\Run: [57d0d74a] rundll32.exe "C:\Users\user\AppData\Local\Temp\hefkxtkk.dll",b
O4 - HKCU\..\Run: [BM54e3e4d6] Rundll32.exe "C:\Users\user\AppData\Local\Temp\tnipmtqv.dll",s
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5268F8B4-E657-4E35-AAAE-C49FB17CD9B0}: NameServer = 212.217.1.17 212.217.0.3
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Program Files\DigitalPersona\Bin\DpHostW.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - c:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 14864 bytes

[younes]

J'ai télécharé installé le Malwarebytes la ca fait un petit examenil a deja trouvé des fichiers infecter j'ai voulu rdemarrer comme tu as dis mais je ne sais pas comme faire pour demarer le pc en mode sans echec ???

[nardino]

Bonsoir

Confirmation d'une infection par Vundo avec ces trois lignes :
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\user\AppData\Local\Temp\geBstsqq.dll,#1
O4 - HKCU\..\Run: [57d0d74a] rundll32.exe "C:\Users\user\AppData\Local\Temp\hefkxtkk.dll",b
O4 - HKCU\..\Run: [BM54e3e4d6] Rundll32.exe "C:\Users\user\AppData\Local\Temp\tnipmtqv.dll",s

Passe donc Malwarebytes au plus vite.
@+

Edit:
J'attends encore un quart d'heure et je vais au dodo.

[younes]

J'ai pas redemarré mon Pc avec mode sans echec comme tu as dis mais j'ai fais un tit scan il a trouvé 39 fichiers infecté et voila le rapport qu'il a donné :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1088
Windows 6.0.6001 Service Pack 1

00:09:45 27/08/2008
mbam-log-08-27-2008 (00-08-55).txt

Type de recherche: Examen rapide
Eléments examinés: 42136
Temps écoulé: 4 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 32

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Users\user\AppData\Local\Temp\tnipmtqv.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\hefkxtkk.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm54e3e4d6 (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\57d0d74a (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\user\AppData\Local\Temp\tnipmtqv.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\hefkxtkk.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\geBstsqq.dll (Trojan.Vundo) -> No action taken.
C:\Windows\Temp\TMP000000032654FB8F2FBC1E5B (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\fccbYpOG.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\jkkJbxWN.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tuvWpOIy.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\urqRLecd.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\vtUmLbcb.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\vtUmMcyX.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\xxyabcAT.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\hgGwWOHb.dll (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp0000ed89 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp0000efab (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp0000f027 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp000100da (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00010ebf (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp000127bb (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp000127f9 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00013571 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp0001360d (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00013800 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp0001404a (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00014a0a (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp000153e9 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00016805 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00016d52 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp000181db (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp0001b70e (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00024327 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00025dc8 (Trojan.Vundo) -> No action taken.
C:\Users\user\AppData\Local\Temp\tmp00027aba (Trojan.Vundo) -> No action taken.

[younes]

Juste pour te dire j'ai rien fait apres avoir vu le rapport j'ttend ta réponse avec ce que je dois faire et Meri BEAUCOUP

[nardino]

Re,
Et bien nous y sommes.
Il ne te reste plus qu'à supprimer tout ce beau monde.
Tu sélectionnes tout le résultat et Supprimer la sélection.
Tu posteras le nouveau rapport.
Ensuite il faut mettre à jour ta machine Java.
-Java Runtime Environment (JRE)6u7 :
http://java.sun.com/javase/downloads/index.jsp
Clique sur Download Java Runtime Environment (JRE) 6 update7
Dans la page suivante, choisis Windows dans Platform coche I agree to the Java SE Runtime Environment 6 License Agreement et Continue
Dans la nouvelle page, coche Windows Offline Installation, et clique sur jre-6u7-windows-i586-p.exe //15.24 MB.
Tu l'installeras hors connexion.
Dans Démarrer, tape appwiz.cpl, puis Entrée et supprime toutes les autres versions.

Et comme une infection n'arrive jamais seule tu complèteras les scans précédents par :
Télécharge Lop S&D (de Angeldark et Eric71) sur le Bureau :
http://eric.71.mespages.googlepages.com/LopSD.exe

Clique sur Lop S&D.exe pour lancer l'installation,
Puis clique droit sur le raccourci Lop S&D présent sur le Bureau et Exécuter en tant qu'admin.....
Séléctionne la langue souhaitée , puis choisis l'Option 1 (Recherche)
Le scan peut prendre plusieurs minutes.
A l'issue du scan, le bloc-notes va s'ouvrir avec le résultat de la recherche.
Copie-colle le contenu de ce rapport dans ta réponse. (Il est sauvegardé à la racine de la partition système : C:\Windows\LopR.txt)
Pour nettoyer ce qui a été trouvé, relancer LopSD et choisir l'option "2" (Suppression), toujours par clic droit.
Poste le nouveau rapport établi.

Je vais au dodo, je te lirais demain matin.
@+

[younes]

Voia le nouveau rapport de Malwarebytes apres la suppression des fichiers :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1088
Windows 6.0.6001 Service Pack 1

00:21:57 27/08/2008
mbam-log-08-27-2008 (00-21-57).txt

Type de recherche: Examen rapide
Eléments examinés: 42136
Temps écoulé: 4 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 32

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Users\user\AppData\Local\Temp\tnipmtqv.dll (Trojan.Vundo) -> Delete on reboot.
C:\Users\user\AppData\Local\Temp\hefkxtkk.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm54e3e4d6 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\57d0d74a (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msserver (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\user\AppData\Local\Temp\tnipmtqv.dll (Trojan.Vundo) -> Delete on reboot.
C:\Users\user\AppData\Local\Temp\hefkxtkk.dll (Trojan.Vundo) -> Delete on reboot.
C:\Users\user\AppData\Local\Temp\geBstsqq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\Temp\TMP000000032654FB8F2FBC1E5B (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\fccbYpOG.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\jkkJbxWN.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tuvWpOIy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\urqRLecd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\vtUmLbcb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\vtUmMcyX.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\xxyabcAT.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\hgGwWOHb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp0000ed89 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp0000efab (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp0000f027 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp000100da (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00010ebf (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp000127bb (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp000127f9 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00013571 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp0001360d (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00013800 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp0001404a (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00014a0a (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp000153e9 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00016805 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00016d52 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp000181db (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp0001b70e (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00024327 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00025dc8 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\user\AppData\Local\Temp\tmp00027aba (Trojan.Vundo) -> Quarantined and deleted successfully.