Il est encore listé ici, on va vérifier.

Copie colle ceci dans un fichier que tu sauvegardes avec extension .BAT (genre fich.bat, sur ton bureau).
Double clique dessus, il va faire une liste de fichier et ouvrir le bloc notes avec, copie colle le contenu dans ta prochaine réponse (après fermeture du bloc notes, ça nettoie tout seul).

Code: Tout sélectionner

dir "C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor" > c:\reg1.txt
dir "C:\Program Files\QuickTime\" > c:\reg2.txt
copy c:\reg?.txt c:\regfile.txt>nul
del c:\reg?.txt
notepad c:\regfile.txt
del c:\regfile.txt

oula euu j'aurais surement besoin d'aide pour faire ça mais la je doit partir donc je verrais ce soir...

Ok, il y a une vie aussi à côté du PC, pas de problème.
C'est pas plus dur, mais il faudra finir tout ça. En attendant pas d'imprudences ave le pc (réinfection WLM...).

Re!

Donc euuu comment on crée un fichier avec extension .BAT ???

Tu ouvres le bloc notes, au lieu de sauvegarder en .txt tu écris .bat, l'icône aura des engrenages au lieu de l'icône texte habituelle.

Ha oui c'est tout simple effectivement^^
Voici le résultat

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94BF-BF86

R‚pertoire de C:\Program Files\OLYMPUS\OLYMPUS Master

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 94BF-BF86

R‚pertoire de C:\Program Files\QuickTime

03/01/2008 11:01 <REP> .
03/01/2008 11:01 <REP> ..
29/06/2007 05:24 483ÿ328 PictureViewer.exe
20/10/2007 20:43 <REP> PictureViewer.Resources
20/10/2007 20:44 <REP> Plugins
20/10/2007 20:43 <REP> PropertyPanels
20/10/2007 20:43 <REP> QTComponents
29/06/2007 05:25 618ÿ496 QTInfo.exe
29/06/2007 05:25 749ÿ568 QTOControl.dll
29/06/2007 05:25 684ÿ032 QTOLibrary.dll
29/06/2007 05:25 574ÿ784 QTPlugin.ocx
20/10/2007 20:44 <REP> QTSystem
29/06/2007 05:25 303ÿ104 QTUIPanelControl.dll
29/06/2007 05:25 10ÿ740 QuickTime Read Me.htm
29/06/2007 05:25 6ÿ124ÿ864 QuickTimePlayer.exe
20/10/2007 20:44 <REP> QuickTimePlayer.Resources
29/06/2007 05:24 55ÿ622 Sample.mov
29/06/2007 05:24 18ÿ663 Sample.qtif
10 fichier(s) 9ÿ623ÿ201 octets
8 R‚p(s) 40ÿ886ÿ145ÿ024 octets libres


Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau.

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
• Copie-colle ce rapport dans ta prochaine réponse.

Y a un hic.. j'ai lancé combofix, il m'a fait mon analyse, il me redémarre le pc et la il me dit que le rapport est en cours de préparation mais tout a fini par ce fermer sans que j'en voie la trace de ce rapport...

Le rapport se trouve normalement dans : C:\Combofix.txt

Ha oui ce doit être ça:

ComboFix 08-01-04.1 - ALEXIS 2008-01-04 16:32:07.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.220 [GMT 1:00]
Running from: C:\Documents and Settings\ALEXIS\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\WinAntiVirus Pro 2006
C:\Program Files\Fichiers communs\winantivirus pro 2006
C:\Program Files\video activex access
C:\WINDOWS\system32\1_exception.nls
C:\WINDOWS\system32\byxwvtq.dll
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\ddcbyyy.dll
C:\WINDOWS\SYSTEM32\ehkmp.ini
C:\WINDOWS\SYSTEM32\ehkmp.ini2
C:\WINDOWS\system32\fccbcby.dll
C:\WINDOWS\system32\gebabca.dll
C:\WINDOWS\system32\hyvpgivr.exe
C:\WINDOWS\system32\iifgfgd.dll
C:\WINDOWS\system32\ljjiiii.dll
C:\WINDOWS\system32\ljjkihh.dll
C:\WINDOWS\system32\mljjjhf.dll
C:\WINDOWS\system32\opnlife.dll
C:\WINDOWS\system32\pmkhe.dll
C:\WINDOWS\system32\qommmmk.dll
C:\WINDOWS\system32\qomnkhi.dll
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\tuvstqo.dll
C:\WINDOWS\system32\vturqom.dll
C:\WINDOWS\system32\winspool.dll
C:\WINDOWS\system32\yayvwxw.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_FOPN
-------\LEGACY_VSPF
-------\LEGACY_VSPF_HK
-------\DomainService
-------\runtime
-------\smtpdrv
-------\vspf
-------\vspf_hk


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-04 to 2008-01-04 ))))))))))))))))))))))))))))))))))))
.

2008-01-04 16:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-04 10:06 . 2008-01-04 10:06 77,376 --a------ C:\WINDOWS\SYSTEM32\yyxorefq.dll
2008-01-02 13:33 . 2008-01-02 13:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
2008-01-02 13:33 . 2008-01-02 16:10 <REP> d-------- C:\Documents and Settings\ALEXIS\Application Data\Azureus
2008-01-02 13:31 . 2008-01-02 13:37 <REP> d-------- C:\Program Files\Azureus
2007-12-28 19:06 . 2007-12-28 19:06 <REP> d-------- C:\Program Files\Rockstar Games
2007-12-28 19:06 . 2007-12-28 19:06 <REP> d-------- C:\Documents and Settings\ALEXIS\Application Data\InstallShield Installation Information
2007-12-26 11:45 . 2007-12-26 11:45 <REP> d-------- C:\Program Files\Avira
2007-12-26 11:45 . 2007-12-26 11:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-26 11:12 . 2007-12-26 22:41 21,760 --a------ C:\WINDOWS\Vbf40.sys
2007-12-26 09:45 . 2007-12-26 09:45 21,760 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\Vbf40.sys
2007-12-25 17:56 . 2007-12-25 18:37 <REP> d-------- C:\Program Files\Navilog1
2007-12-25 10:14 . 2007-12-25 10:14 244 --ah----- C:\sqmnoopt14.sqm
2007-12-25 10:14 . 2007-12-25 10:14 232 --ah----- C:\sqmdata14.sqm
2007-12-25 10:13 . 2007-12-25 10:13 244 --ah----- C:\sqmnoopt13.sqm
2007-12-25 10:13 . 2007-12-25 10:13 232 --ah----- C:\sqmdata13.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-04 08:51 --------- d-----w C:\Program Files\iTunes
2008-01-03 10:01 --------- d-----w C:\Program Files\Wanadoo
2008-01-03 10:01 --------- d-----w C:\Program Files\QuickTime
2008-01-03 10:01 --------- d-----w C:\Program Files\Dell AIO Printer A920
2008-01-02 16:38 --------- d-----w C:\Documents and Settings\ALEXIS\Application Data\Apple Computer
2007-12-19 17:13 --------- d-----w C:\Program Files\eMule
2007-12-14 17:54 --------- d-----w C:\Program Files\World of Warcraft
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2007-12-26 11:35 15360]
"Sonic RecordNow!"="" []
"WOOKIT"="C:\Program Files\Wanadoo\GestMaj.exe" [ ]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor .exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 14:29 7561216]
"diagent"="C:\Program Files\Creative\SBLive\Diagnostics\diagent.exe" [ ]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [ ]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [ ]
"StorageGuard"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [ ]
"PCMService"="C:\Program Files\Dell\Media Experience\PCMService.exe" [ ]
"DVDSentry"="C:\WINDOWS\System32\DSentry.exe" [ ]
"Dell AIO Printer A920"="C:\Program Files\Dell AIO Printer A920\dlbkbmgr.exe" [ ]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask .exe" [ ]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [ ]
"CnxDslTaskBar"="C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" [ ]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [ ]
"nwiz"="nwiz.exe" [2006-03-09 14:29 1519616 C:\WINDOWS\SYSTEM32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 14:29 86016]
"D-Link AirPlus G"="C:\Program Files\D-Link\AirPlus G\AirGCFG.exe" [ ]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [ ]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [ ]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [ ]
"LogitechCameraAssistant"="C:\Program Files\Logitech\Video\CameraAssistant.exe" [ ]
"LogitechVideo[inspector]"="C:\Program Files\Logitech\Video\InstallHelper.exe" [ ]
"LogitechCameraService(E)"="C:\WINDOWS\system32\ElkCtrl.exe" [ ]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2007-12-26 11:35 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Vbf40.sys]
@="Driver"

R0 Vbf40;Vbf40;C:\WINDOWS\system32\Drivers\Vbf40.sys [2007-12-26 09:45]
R3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 15:37]
S3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2005-05-20 18:27]
S3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2005-05-20 18:27]
S3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNW.sys [2005-05-20 18:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c13b5f1-691c-11dc-bb03-00038a000015}]
\Shell\Auto\command - cmd /C launch.bat
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-01 16:49:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2004-01-08 20:00:10 C:\WINDOWS\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job"

Pour commencer, il y a un fichier dans ton système, que nous n'avons jamais vu et que nos experts et développeurs voudraient bien analyser !

Donc, avant de réparer quoi que ce soit, veux-tu bien, s'il te plaît, lancer notepad et copie/colle le texte de la boîte ci-dessous :

@echo off
::http://www.libellules.ch/phpBB2/contamination-via-wlm-t26531-60.html

For %%g in (
C:\WINDOWS\Vbf40.sys C:\WINDOWS\SYSTEM32\DRIVERS\Vbf40.sys
) do catchme -l nul -k %%g >nul

catchme -l nul -k %0 >nul
nircmd execmd move /y "~$folder.desktop$\catchme.zip" "Submit [%date:/=-% %time::=.%].zip"
echo.S'il te plaît, soumets le fichier - Submit [%date:/=-% %time::=.%].zip
nircmd wait 7000
del %0

Enregistre le sous le nom Submit.bat, opte pour "Type - Tous les fichiers". Ca devrait ressembler à ceci :
Double-clique sur Submit.bat & autorise le à générer un fichier zippé nommé Submit [Date Heure].zip

j'ai fait comme demandé sauf que je n'ai pas eu a autoriser quoi que ce soit et le Fichier Submit.bat a été enlevé du bureau c'est bon ?

Il n'est plus sur le bureau ?

non il a été viré des que j'ai doublecliqué dessus

Le batch oui, mais as-tu un fichier nommé "Submit [date et heure].zip" sur le bureau ?

Non rien de nouveau sur le bureau

J'ai eu quelques contacts entre temps, c'est bien une infection nouvelle, pas tout à fait encore prise en charge (il faut pas mal bidouiller). Il est important d'envoyer les fichiers échantillons aux développeurs avant de poursuivre, donc on va s'atteler à ça avec d'autres moyens.

Les fichiers intéressants sont là :
C:\WINDOWS\Vbf40.sys
C:\WINDOWS\SYSTEM32\DRIVERS\Vbf40.sys

Essaie de les zipper (à la main), un fichier par zip.
Dis moi si ça marche.

salut!

la compression manuelle ne fonctionne pas non plus sa me fais une "erreur des fichiers compressée" (un truc du genre) et le zip est vide...

On va faire autrement.

Télécharge ici catchme et mets-le sur ton bureau :
http://files.thespykiller.co.uk/catchme.exe

Double clique sur catchme.exe : une fenêtre noire s'ouvre, on patiente, puis une interface graphique.
Clique sur le bouton "add" et va chercher le fichier C:\WINDOWS\Vbf40.sys (il apparaîtra dans la liste)
Clique sur le bouton "add" et va chercher le fichier C:\WINDOWS\SYSTEM32\DRIVERS\Vbf40.sys
Clique sur le bouton ZIP et un zip sera créé sur le bureau, contenant les deux fichiers (l'un sera renommé).

Confirme moi que ça passe (ou pas).

Cette fois ça a marché ils sont zippés