Fenetres pub firefox intempestives

Bonjour,

Depuis maintenant trois jours, lorsque je navigue sur internet, j’ai des fenêtres pub qui s’ouvrent régulièrement, toujours la même série (fausses pubs pour un antivirus 360, un autre version 2008 qui "proposent et lancent des scans de ma machine que je l’accepte ou non , speed-downloading et autres merdes), quelque soit le site ou je navigue. J’ai pourtant un anti-virus à jour installé (Eset) malgré tout la vérole est passée.
J’ai essayé de nettoyer la machine avec Ad-aware, cccleaner, et j’ai retiré l’appli pnkbstra.exe qui semblait louche (n’ayant jamais coché l’installation de punkbuster) grace à pbsvc.

Malgré tout, ces fenêtres continuent d’apparaitre des que je navigue sur internet, j’ai noté d’ailleurs que je ne rencontrait ce problème qu’avec firefox, la navigation avec safari reste, elle, 100% clean.

Quelle solution me proposeriez vous pour me débarrasser définitivement de ces fenêtres?

Afin de vous aiguiller, j’ai réalisé un scan hijackthis, dont voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:56:49, on 12/13/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\UltraMon\UltraMon.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\UltraMon\UltraMonTaskbar.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\TheaterTek\TheaterTek DVD 2.0\AutoKiller.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Bittorrent\bittorrent.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Sam Vimaire\Bureau\degement de la verole\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.fr…
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = www.google.fr…
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 91.121.108.185 l2testauthd.lineage2.com
O1 - Hosts: 91.121.108.185 l2authd.lineage2.com
O2 - BHO: (no name) - {015ABE3F-5283-4725-A12A-FA20C6704EBF} - C:\WINDOWS\system32\jkhhh.dll
O2 - BHO: (no name) - {295bb35d-f8b7-4796-aec5-057a8d531dd2} - C:\WINDOWS\system32\yorefenu.dll
O2 - BHO: (no name) - {6ED63687-EB85-4687-A8D0-17E9792B20CA} - C:\WINDOWS\system32\vtuuvvu.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {4679d01c-ef53-14c9-fdd4-ce1fe8c7fae9} - {9eaf7c8e-f1ec-4ddf-9c41-35fec10d9764} - C:\WINDOWS\system32\hoyhuj.dll
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM…\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM…\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM…\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM…\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”
O4 - HKLM…\Run: [UltraMon] “C:\Program Files\UltraMon\UltraMon.exe” /auto
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET Smart Security\egui.exe” /hide /waitservice
O4 - HKLM…\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [c82d454a] rundll32.exe “C:\WINDOWS\system32\evdxeirn.dll”,b
O4 - HKLM…\Run: [likeguwejo] Rundll32.exe “C:\WINDOWS\system32\hawivobi.dll”,s
O4 - HKCU…\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\wcescomm.exe”
O4 - HKCU…\Run: [wininfo] C:\WINDOWS\system32\wmram.exe
O4 - HKCU…\Run: [DAEMON Tools Pro Agent] “C:\Program Files\DAEMON Tools Pro\DTProAgent.exe”
O4 - HKCU…\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -“Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.18) Gecko/20081029 Firefox/2.0.0.18” -“http://v3d.pagesjaunes.fr/…”
O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 “C:\WINDOWS\Srchasst” (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 “C:\WINDOWS\msagent” (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 “C:\WINDOWS\Help\Tours” (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_04] cmd.exe /c md “%USERPROFILE%\Local Settings\Temp” (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 “C:\WINDOWS\Srchasst” (User ‘SERVICE RÉSEAU’)
O4 - Startup: RocketDock.lnk = C:\Program Files\RocketDock\RocketDock.exe
O4 - Global Startup: Autorun Killer.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra ‘Tools’ menuitem: Créer un Favori de l’appareil mobile… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {F2B441CC-E026-47fb-BDC3-A07750FA3D2C} - (no file) (HKCU)
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: hoyhuj.dll,C:\WINDOWS\system32\mojujebu.dll
O20 - Winlogon Notify: vtuuvvu - C:\WINDOWS\SYSTEM32\vtuuvvu.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Eset TrialReset (Eset_TrialReset_serv) - Everstrike Software - C:\WINDOWS\Eset_TrialReset_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
End of file - 10642 bytes

Configuration: Windows XP
Firefox 2.0.0.18
Intel core 2 Quad 2,4Go
8800 GTX
2Go ram

:hello:

relance hijackthis puis clique sur http://images.imagehotel.net/z8uattg6yg.jpg

recherche et coche les lignes suivantes:

puis clique sur http://images.imagehotel.net/sw6zjk8ugk.jpg

 [b]Télécharge [Navilog1](http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe) (de [i]Il Mafioso[/i]) sur le bureau.[/b]

/!\ Désactive tes protections résidentes : antivirus, antispyware, [UAC](http://www.inforumatique.fr/desactiver-l-uac-dans-windows-vista-t3112.html) sous Vista ... /!\

Double clique sur [b]Navilog1.exe[/b] pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis [b]1[/b] et valide.
[b](Ne fais pas le choix 2,3 ou 4 sans notre avis/accord)[/b]

Poste moi le rapport dans ta prochaine réponse s'il te plait. Le rapport se trouve ici C:\fixnavi.txt
/!\ N'oublie pas de réactiver tes protections résidentes /!\

Avant tout, merci pour on aide :slight_smile:
J’ai effectué les démarches indiquées, mais deux points ont cloché dans la démarche : dans unpremier temps, je n’ai pas trouvé les deux lignes suivantes dans le logfile de hijackthis :

O2 - BHO: {4679d01c-ef53-14c9-fdd4-ce1fe8c7fae9} - {9eaf7c8e-f1ec-4ddf-9c41-35fec10d9764} - C:\WINDOWS\system32\hoyhuj.dll
et
O4 - HKLM…\Run: [c82d454a] rundll32.exe “C:\WINDOWS\system32\evdxeirn.dll”,b

j’ai coché et “fixé” le reste des lignes

j’ai ensuite lancé le traitement navilog, mais j’ai l’impression qu’il bloque lors de son exécution, la mention veuillez patienter est resté affichée durant plus d’une demi heure, et la loupiote de travail du proc restait quasiment figée, j’ai l’impression, que le process ne se déroule pas comme il le devrait, dois-je le laisser tourner plus longtemps?

Re,

en principe non le scan doit être pratiquement instantané …as tu correctement désactivé tes protections si oui

Télécharge Ccleaner , désinstalle Navilog , passe ccleaner en mode registre accepte la sauvegarde de celui-ci , fais plusieurs passes

Télécharge A-Squared Free ( dit A2) , mets le à jour.

Fait un scan en mode Détail , accepte la mise en quarantaine de tout ce qu’il trouve …

Retélécharge Navilog1 , retente la procédure : voir plus haut

Dans ton prochain message poste le rapport A2, le rapport Navilog …

Aargh! une fois le scan A2 terminé, lors de la mise en quarantaine des fichiers trouvés, mon système s’est brusquement éteint juste lors de la mise en quarantaine du fichier virtumonde (j’imagine que la vérole devait certainement provenir de ce fichier) , en redémarrant la machine par la suite, je n’avais plus windows explorer, j’accède à firefox par le biais du ctrl alt sup->fichier->exécuter.
Le reste de ma machine est apparement toujours fonctionnel. J’ai bien essayé de tenter une réparation du système avec le cd de windows, mais il ne me le propose pas.
Comment puis-je procéder pour réinstaller windowsexplorer? le fichier d’install est dans un cab du disque d’install, j’imagine, mais sans l’explorer, j’ai pas fini de chercher, si tant est que ce soit possible :frowning:
je préférerai vraiment éviter de passer par un formatage (d’autant plus que le système reste stable et fonctionnel), j’ai une quantité de données et de programmes à installer très longue et laborieuse à chaque fois, et c’est une vraie galère, en gros, je ne le ferai que si je n’ai vraiment pas d’autre choix.
J’ai pensé à une restauration système, mais je ne sais pas comment la lancer sans passer par l’explorateur?
merci pour ton aide!

*a noter que pour le coté “comique” de l’affaire, les fenêtres pub s’ouvrent toujours…
Edité le 14/12/2008 à 17:38

Re,

C’est quoi ce binz :frowning:

Clique sur laz touche Windows du clavier + R

Dans la fenêtre qui s’ouvre copie/colle ceci:

puis clique sur OK

cela va lance la restauration système …

quand c’est fait dis moi on va lancer un nettoyage avec un autre logiciel MBAM
Edité le 14/12/2008 à 18:05

J’ai réussi à trouver la commande pour la restauration syst, je l’ai effectuée, mais au redémarrage, je n’ai toujours pas d’explorer

Bon, je suis passé en mode bricolage et, gros coup de bol, ca a remarché
J’ai récupéré le fichier explorer.exe par le biais d’un pote sur msn, l’ai remis en place, et au lancement de la machine, il refonctionne.

Pfeeeeww^^

Re,

Ok mets en poste la manip ici cela pourra intéressé du monde …

Bon continuons Télécharge, mets à jour Malwarebytes Anti-Malware que tu trouveras ici (pour les intimes il se nomme MBAM)

Passe en mode sans échec:
www.inforumatique.fr…

En préférant la méthode F8

Scanne ton ordi avec MBAM (mode complet) enregistre le rapport sur le bureau et poste le dans ton prochain message ainsi qu’un nouveau hijackthis
Edité le 14/12/2008 à 18:33

Je parle bien de l’explorateur windows, qui permet de naviguer sur ma machine (donc raccourcis windows+E), je ne confond pas avec l’IE :wink:
Je n’avais que le fond d’écran, sans icône ni barre de tache, mais je pouvais curieusement accéder aux commande d’exécution par le biais du ctrl alt supp, (le raccourcis windows+R ne fonctionnait pas) je suis donc parti de là pour effectuer mes manipes

Ok, voilà donc le détail des manipulations effectuées :
Dans un premier temps, j’ai suivi la démarche de scan indiquée plus haut. Lors de l’étape A2 (A-squared free), à la fin du scan, le logiciel a repéré 83 process malveillants. j’ai donc sélectionné la mise en quarantaine de tous les fichiers repérés et l’ai validé.
Celle-ci s’est déroulée parfaitement jusqu’au dernier fichier de la liste, le fameux “virtumonde” : à la seconde ou celui-ci a disparu de la liste, ma machine s’est éteinte d’un coup (plus d’écrans, arrêt des ventilos, mais le système était toujours allumé, les loupiotes fonctionnant encore) Au bout d’une dizaine de minutes, ne voyant aucune réaction, j’ai fais un reset, puisqu’il semblait y avoir plantage.
La machine a redémarré, et lors de l’arrivée sur windows, je n’avais plus d’explorateur windows (donc l’outil windows de base permettant la navigation sur sa machine) : seul le fond d’écran s’affichait, plus de barre de taches, plus d’icônes et raccourcis claviers désactivés (win+e, win+r ect…) seul le menu ctrl + alt + supp fonctionnait.
Par le biais du browser de cet outil ( fichier -> exécuter, puis touche parcourir) j’ai remarqué que mon fichier explorer.exe avait disparu de mon répertoire c:\windows.
j’ai donc tenté une restauration système avec la commande “%SystemRoot%\System32\restore\rstrui.exe” par le biais de la même fenêtre d’exécution, celle-ci n’a pas marché, le système ne voulant pas récupérer ma sauvegarde datée d’il y a trois jours, pleinement fonctionnelle, et antérieure à la date d’apparition de la vérole.
J’ai donc tenté le tout pour le tout en récuperant par le biais d’msn le fichier explorer.exe, et je l’ai recollé dans le répertoire c:\windows.
Coup de bol, ça a fonctionné, j’en déduis donc que c’est probablement A2 qui m’avait mis le fichier en quarantaine.
Windows fonctionne donc à nouveau (gros soulagement^^), mais la vérole n’est cependant pas partie, puisque les fenêtres pub continuent d’apparaître.

voilà pour le détail, et merci encore pour le coup de main :wink:
Edité le 14/12/2008 à 18:55

Dans la suite de la démarche entamée ce week end, voilà donc le rapport

MBAM :

Malwarebytes’ Anti-Malware 1.31
Version de la base de données: 1500
Windows 5.1.2600 Service Pack 2

12/16/2008 7:25:03
mbam-log-2008-12-16 (07-24-36).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 204771
Temps écoulé: 36 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 6
Clé(s) du Registre infectée(s): 19
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 112

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\aunlvetk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jkhhh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\yegejoso.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ktoojp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtuuvvu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kafidevo.dll (Trojan.Vundo.H) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{6ed63687-eb85-4687-a8d0-17e9792b20ca} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuuvvu (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID{6ed63687-eb85-4687-a8d0-17e9792b20ca} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{95c5fc84-637d-45f6-8ff5-5d12f0750c62} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID{95c5fc84-637d-45f6-8ff5-5d12f0750c62} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{fbf742b2-363a-44bc-ae4b-a24ccef09c1f} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID{fbf742b2-363a-44bc-ae4b-a24ccef09c1f} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{295bb35d-f8b7-4796-aec5-057a8d531dd2} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID{295bb35d-f8b7-4796-aec5-057a8d531dd2} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{95c5fc84-637d-45f6-8ff5-5d12f0750c62} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{6ed63687-eb85-4687-a8d0-17e9792b20ca} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{fbf742b2-363a-44bc-ae4b-a24ccef09c1f} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{295bb35d-f8b7-4796-aec5-057a8d531dd2} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\c82d454a (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\likeguwejo (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks{6ed63687-eb85-4687-a8d0-17e9792b20ca} (Trojan.Vundo.H) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\jkhhh -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\yegejoso.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\yegejoso.dll

Je posterai le rapport hijackthis asap, la machine étant malheureusement indisponible dans l’heure qui suit

Salut,

Tu n’as rien supprimer.

Réouvre malwarebyte et va dans l’onglet quarantaine et vide la.

Ensuite si il te demande de redemarrer accepte et refait un hijackthis suite au reboot.

@+

:hello: Studio

( :hello: Goldorak )

Studio après

[b]Télécharge [VundoFix](http://www.atribune.org/ccount/click.php?id=4) (de Atribune) sur le bureau[/b]
  • Double-clique sur VundoFix.exe afin de le lancer.

  • Clique sur le bouton Scan for Vundo.

  • Lorsque le scan est terminé, clique sur le bouton Remove Vundo.

  • Une invite te demandera si tu veux supprimer les fichiers, clique sur YES

  • Après avoir cliqué “Yes”, le bureau disparaitra un moment lors de la suppression des fichiers.

  • Tu verras une invite qui t’annoncera que le PC va s’éteindre (“shutdown”) ; clique sur OK, le pc s’éteint.

  • Rallume le pc

  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt

    Note: Il est possible que VundoFix soit confronté à un fichier qu’il ne peut supprimer. Si tel est le cas, l’outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de “clique sur le bouton Scan for Vundo”

    Une aide à l’utilisation ici

salut,

Vundofix n’est plus d’actuallités.

Plus mit a jour depuis deux mois.

@+

oupsssssssss merci Goldorak

reposte un hijackthis après suppression de la quarantaine de MBAM

Apparemment le logiciel me bloque la mise en quarantaine : quand je clique sur l’onglet quarantaine, il ne s’active pas. La seul solution qui s’offre à moi est la suppression. Cela dit vu la dernière frayeur en date, est vraiment une bonne idée de tout supprimer?
ou y a t il une manip qui m’a échappe?

Re,

fait la suppression et reboot ton pc et refait un hijackthis.

]@+