virus ai je tout supprimé ??

[Murielle la puce]

Bonjour.
Je viens de renter de vacances et pendant mon absence mon chef a été trainé je ne sais ou sur le net avec l'ordi du secrétariat et j'ai des virus partout... (j'ai bitdenfer d'installer - firewall et antivirus).

après plusieurs recherches j'en suis arrivée à la conclusion que je devais avoir 2 voir 3 virus ou trojan... donc vundo, downloader small et downloader vbs ainsi que celui qui donne les fameux messags d'alertes spywares..

J'ai utilisé smitfraudfix, vundofix et hijackthis voici les rapports







»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler]
"{629340b5-8df6-4211-9245-a86563a35792}"="enation"

[HKEY_CLASSES_ROOTCLSID{629340b5-8df6-4211-9245-a86563a35792}InProcServer32]
@="C:WINDOWSsystem32gnmguxh.dll"

[HKEY_LOCAL_MACHINESoftwareClassesCLSID{629340b5-8df6-4211-9245-a86563a35792}InProcServer32]
@="C:WINDOWSsystem32gnmguxh.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:WINDOWSwbxdpgfelkn.dll deleted.
C:WINDOWSsqvgnrpx.dll deleted.
C:WINDOWSfdxbameg.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

*** An error occured while opening C:WINDOWSsystem32gnmguxh.dll ***


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:DOCUME~1isabelleBureauError Cleaner.url supprimé
C:DOCUME~1isabelleBureauPrivacy Protector.url supprimé
C:DOCUME~1isabelleBureauSpyware?Malware Protection.url supprimé
C:DOCUME~1isabelleFavorisAntivirus Scan.url supprimé
C:DOCUME~1isabelleFavorisError Cleaner.url supprimé
C:DOCUME~1isabelleFavorisPrivacy Protector.url supprimé
C:DOCUME~1isabelleFavorisSpyware?Malware Protection.url supprimé
C:Program FilesWeb Technologies supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix



VundoFix V7.0.6

Scan started at 08:06:28 21/07/2008

Listing files found while scanning....

No infected files were found.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:21:47, on 21/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSExplorer.EXE
C:Program FilesJavajre1.5.0_06injusched.exe
C:WINDOWSstsystra.exe
C:Program FilesIntelIntel Matrix Storage Manageriaanotif.exe
C:Program FilesCyberLinkPowerDVDDVDLauncher.exe
C:WINDOWSSystem32DLADLACTRLW.EXE
C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe
C:Program FilesSoftwinBitDefender10dmcon.exe
C:Program FilesSoftwinBitDefender10dagent.exe
C:Program FilesAdobeReader 8.0ReaderReader_sl.exe
C:Program FilesGoto SoftwareVade RetroVaderetro_Mgr.exe
C:WINDOWSsystem32 undll32.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesPowerArchiverPASTARTER.EXE
C:Program FilesMicrosoft OfficeOfficeOSA.EXE
C:Program FilesBroadcomASFIPMonAsfIpMon.exe
C:Program FilesIntelIntel Matrix Storage Manageriaantmon.exe
C:WINDOWSsystem32
vsvc32.exe
C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe
C:Program FilesFichiers communsSoftwinBitDefender Scan Serverdss.exe
C:Program FilesFichiers communsSoftwinBitDefender Update Servicelivesrv.exe
C:Program FilesSoftwinBitDefender10vsserv.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesMicrosoft MoneySystemurlmap.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKLMSoftwareMicrosoftInternet ExplorerSearch,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell ... =fr&ibd(...)
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {36267BAA-20D4-4869-8F36-CE081A313622} - (no file)
O2 - BHO: QXK Olive - {3EE58090-72BB-4B74-AC0C-FBC6E1B119A5} - C:WINDOWSwbxdpgfelkn.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06inssv.dll
O2 - BHO: (no name) - {8B67613D-D01B-4ADD-829F-25A6299ACD3D} - (no file)
O2 - BHO: {15232f30-16dc-ddb8-7214-58ec1d86c87c} - {c78c68d1-ce85-4127-8bdd-cd6103f23251} - C:WINDOWSsystem32ghhwpn.dll
O2 - BHO: (no name) - {E152C52D-ACA1-42CA-892F-877C4027276D} - C:WINDOWSsystem32vtUmkHYr.dll (file missing)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:Program FilesMicrosoft MoneySystemmnyviewer.dll
O3 - Toolbar: Internet Service - {1C56E97B-A95F-47B2-93C0-3FEED24479A7} - C:Program FilesWeb Technologiesiebr.dll (file missing)
O3 - Toolbar: sqvgnrpx - {8D52F0EB-21CC-422D-8042-D2F69614D8A6} - C:WINDOWSsqvgnrpx.dll (file missing)
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_06injusched.exe
O4 - HKLM..Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM..Run: [IAAnotif] C:Program FilesIntelIntel Matrix Storage Manageriaanotif.exe
O4 - HKLM..Run: [DVDLauncher] "C:Program FilesCyberLinkPowerDVDDVDLauncher.exe"
O4 - HKLM..Run: [DLA] C:WINDOWSSystem32DLADLACTRLW.EXE
O4 - HKLM..Run: [ISUSPM Startup] C:PROGRA~1FICHIE~1INSTAL~1UPDATE~1ISUSPM.exe -startup
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKLM..Run: [MoneyStartUp10.0] "C:Program FilesMicrosoft MoneySystemActivation.exe"
O4 - HKLM..Run: [BDMCon] "C:Program FilesSoftwinBitDefender10dmcon.exe" /reg
O4 - HKLM..Run: [BDAgent] "C:Program FilesSoftwinBitDefender10dagent.exe"
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [VadeRetro Desktop] C:Program FilesGoto SoftwareVade RetroVaderetro_Mgr.exe
O4 - HKLM..Run: [AntiSpywareExpert] C:Program FilesAntiSpywareExpertase_fr.exe
O4 - HKLM..Run: [0450d6af] rundll32.exe "C:WINDOWSsystem32xnrukcys.dll",b
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 - HKCU..Run: [PowerArchiver Tray] C:Program FilesPowerArchiverPASTARTER.EXE
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage d'Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:Program FilesMicrosoft OfficeOfficeFINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06inssv.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:Program FilesMicrosoft MoneySystemmnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O17 - HKLMSystemCCSServicesTcpip..{E396DADF-478E-43B8-94F6-5228AE293B91}: NameServer = 80.10.246.2,80.10.246.129
O21 - SSODL: fdxbameg - {2D2086C4-27DF-484F-8375-922157AC829B} - C:WINDOWSfdxbameg.dll (file missing)
O22 - SharedTaskScheduler: enation - {629340b5-8df6-4211-9245-a86563a35792} - C:WINDOWSsystem32gnmguxh.dll (file missing)
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:Program FilesBroadcomASFIPMonAsfIpMon.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:Program FilesFichiers communsSoftwinBitDefender Scan Serverdss.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:Program FilesIntelIntel Matrix Storage Manageriaantmon.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:WINDOWSsystem32LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:Program FilesFichiers communsSoftwinBitDefender Update Servicelivesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:Program FilesSoftwinBitDefender10vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:Program FilesFichiers communsSoftwinBitDefender Communicatorxcommsvr.exe

--
End of file - 7599 bytes


voilà les 3 rapports... je pense que le plus gros doit être parti mais rassurez moi et dites moi s'il reste des manips à faire ??

merci d'avance

[Murielle la puce]

je rajoute le rapport bitdefender ...

//-----------------------------------------------------------------
//
// Produit BitDefender Internet Security v10
// Produit 10.2
//
// Créé le: 21/07/2008 09:00:01
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:
Dossiers : 3219
Fichiers : 127467
Processus Mémoire analysés : 41
Archives : 7758
Fichiers enpaquetés : 9132
Virus trouvés : 2
Fichiers infectés : 2
Processus Mémoire infectés : 0
Fichiers suspects : 6
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 1
Erreurs I/O : 28
Temps d'analyse :=00:18:41
Fichiers/seconde :113

Statistiques Spywares

Registres analysés : 317
Registres infectés : 0
Cookies analysés : 36
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0


Définitions virus : 1382263
Plugins d'analyse : 16
Plugins archives : 43
Plug-ins décompression : 7
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[X] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:Documents and SettingsAll UsersApplication DataBitDefenderDesktopProfilesLogsdeep_scan1216623601.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies


Résumé:

C:Documents and SettingsAll UsersApplication DataBitDefenderDesktopQuarantinegnmguxh.dll Suspect: Trojan.Downloader.Small.1
C:Documents and SettingsAll UsersApplication DataBitDefenderDesktopQuarantinevtumkhyr.dll Infecté: Trojan.Vundo.FAT
C:Documents and SettingsAll UsersApplication DataBitDefenderDesktopQuarantinevtumkhyr.dll Désinfection impossible
C:Documents and SettingsAll UsersApplication DataBitDefenderDesktopQuarantinevtumkhyr.dll Déplacement impossible
C:Documents and SettingsisabelleApplication DataSunJavaDeploymentcachejavapiv1.0jarOP.jar-69ea46e2-2593400c.zip=>OP.class Infecté: Trojan.Exploit.Java.Byteverify.L
C:Documents and SettingsisabelleApplication DataSunJavaDeploymentcachejavapiv1.0jarOP.jar-69ea46e2-2593400c.zip=>OP.class Désinfection impossible
C:Documents and SettingsisabelleApplication DataSunJavaDeploymentcachejavapiv1.0jarOP.jar-69ea46e2-2593400c.zip Déplacé
C:Documents and SettingsisabelleLocal SettingsTemp mp27.tmp=>(unicode) Suspect: Trojan.Downloader.VBS.BL
C:Documents and SettingsisabelleLocal SettingsTemp mp2D.tmp=>(unicode) Suspect: Trojan.Downloader.VBS.BL
C:Documents and SettingsisabelleLocal SettingsTemp mp2E.tmp=>(unicode) Suspect: Trojan.Downloader.VBS.BL
C:Documents and SettingsisabelleLocal SettingsTemp mp43.tmp=>(unicode) Suspect: Trojan.Downloader.VBS.BL
C:Documents and SettingsisabelleLocal SettingsTemporary Internet FilesContent.IE533CA2V2Fplayer[1].htm Suspect: Trojan.Html.Zlob.L

merci d'avance car là je ne sais plus par quel bout le prendre !! et quoi faire de plus

[r@in | b0w]

Bonjour.

1_ Tu désinstalles AntiSpywareExpert qui est une vermine, cf ce lien.

Tout le nettoyage que tu as pu faire est obsolète car le programme vérolé est toujours là.

2_ Tu supprimes ces lignes avec HiJackThis:

O2 - BHO: (no name) - {36267BAA-20D4-4869-8F36-CE081A313622} - (no file)
O2 - BHO: QXK Olive - {3EE58090-72BB-4B74-AC0C-FBC6E1B119A5} - C:WINDOWSwbxdpgfelkn.dll (file missing)
O2 - BHO: (no name) - {8B67613D-D01B-4ADD-829F-25A6299ACD3D} - (no file)
O2 - BHO: {15232f30-16dc-ddb8-7214-58ec1d86c87c} - {c78c68d1-ce85-4127-8bdd-cd6103f23251} - C:WINDOWSsystem32ghhwpn.dll
O2 - BHO: (no name) - {E152C52D-ACA1-42CA-892F-877C4027276D} - C:WINDOWSsystem32vtUmkHYr.dll (file missing)
O3 - Toolbar: Internet Service - {1C56E97B-A95F-47B2-93C0-3FEED24479A7} - C:Program FilesWeb Technologiesiebr.dll (file missing)
O3 - Toolbar: sqvgnrpx - {8D52F0EB-21CC-422D-8042-D2F69614D8A6} - C:WINDOWSsqvgnrpx.dll (file missing)
O4 - HKLM..Run: [AntiSpywareExpert] C:Program FilesAntiSpywareExpertase_fr.exe
O4 - HKLM..Run: [0450d6af] rundll32.exe "C:WINDOWSsystem32xnrukcys.dll",b
O21 - SSODL: fdxbameg - {2D2086C4-27DF-484F-8375-922157AC829B} - C:WINDOWSfdxbameg.dll (file missing)
Inconnu
O22 - SharedTaskScheduler: enation - {629340b5-8df6-4211-9245-a86563a35792} - C:WINDOWSsystem32gnmguxh.dll (file missing)

3_ ComboFix:

Tu télécharges ComboFix.exe.

Tu le lances ensuite en double cliquant dessus, tu confirmes l'ouverture en cliquant sur Exécuter.

A la fenêtre Disclaimer, tu tapes sur [1].

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.
Laisse-le faire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

4_ Nettoyage des points de restauration:

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Tu refais la manipulation pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.

5_ Tu refais ensuite un scan HiJackThis en suivant ce tutorial.
Tu nous postes le rapport généré.