virus.win32.nsag.a ?????

Question

kk'un connais t'il ce virus, mon antivirus me la detecter ce matin pas moyen de desinfecter et j'ai fait des recherche sur google pour trouver un outil de desinfection il y a rien du tout!!!

il c loger sur le dosier wininet.dll....

Si qq un a des info sur ce virus merci de m'en faire part

Afficher la suite

jean38 · Answer

A/ si tu ne les as pas, telecharge: Spybot S&D 1.4 et Ad-Aware SE 1.06 http://www.lavasoftusa.com/software/adaware/ http://www.safer-networking.org/fr/index.htmlpuis surhttp://www.florensac-chasse-trap.compointe ton curseur sur « section virus » sans cliquerclick sur le menu qui apparaît et chargeCleanUp312.exe ne les utilise pas tout de suite idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 2) demarrer panneau de configuration outil option des dossiers affichage, coche afficher dossier cachés decoche : masquer extension des fichiers dont le type est connu masquer les fichiers protégés du systeme d'exploitation. 3) demarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)execute cleanup312.exe tu relances tes scan ad aware puis spy boot puis a2 freeet vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir). vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ mais en recochant ... pour retrouver la config de départ.  redemarre telecharge hijackthis: http://www.merijn.org/files/hijackthis.zip Dezippe le dans un dossier prévu a cet effet. Par exemple C:\hijackthis lance le puis: clic sur "do a system scan and save logfile" et pas autre chose fais un copier coller du log entier ici.  A+Jean

melo · Answer

eeeee j'ai cliquer sur ce liens suis tomber sur un liens de chasse et de peche.... vi c vrai je veux chasser ce virus mais je sais pas si une carabine pourra maider :-phttp://www.florensac-chasse-trap.com le liens que tu voulais me donner s'etais???merci

melo · Answer

oups dsl j'avais pas bien regarder le sitej'ai rien dit

melo · Answer

Logfile of HijackThis v1.99.1Scan saved at 14:05:06, on 13/05/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Messenger Plus! 3\MsgPlus.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\ISS\BlackICE\blackice.exeC:\Program Files\AntiViral Toolkit Pro\avpm.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Yahoo!\Messenger\ymsgr_tray.exeC:\Program Files\ISS\BlackICE\blackd.exeC:\WINDOWS\System32\mnmsrvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ISS\BlackICEapapp.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\iPod\bin\iPodService.exeC:\Documents and Settings\melotoinou\Bureau\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.com

melo · Answer

au fait a2 n'a pas trouver le virus mais mon kapersky le trouve et ne peu pas le desinfecter, mm en mode sans echec ( ce que j'avais essayer avant de venir sur le forum)  il me fais des alerte virus sans arret et met " Problème d'I/O error. Echec en désinfection. "Merci de ton aide

jean38 · Answer

ton log n'est pas complet, il y a un ascenseur sur le coté, recolle tout.d'autre part, fait un scan en ligne chezhttp://www.ravantivirus.com/scan/click hereaccepte active Xet scancolle le rapport

melo · Answer

voila le log complet je fait mon l'antivirus en ligne et je te mets le nouveau logLogfile of HijackThis v1.99.1Scan saved at 14:05:06, on 13/05/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Messenger Plus! 3\MsgPlus.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\QuickTime\qttask.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\ISS\BlackICE\blackice.exeC:\Program Files\AntiViral Toolkit Pro\avpm.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Yahoo!\Messenger\ymsgr_tray.exeC:\Program Files\ISS\BlackICE\blackd.exeC:\WINDOWS\System32\mnmsrvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ISS\BlackICEapapp.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\iPod\bin\iPodService.exeC:\Documents and Settings\melotoinou\Bureau\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensF2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exeO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO2 - BHO: (no name) - {04711AF9-1C6D-585C-A740-93DD53D9DB3A} - (no file)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL (file missing)O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [bend phone great ford] C:\Documents and Settings\All Users\Application Data\flapboldbendphone\mixsetup.exeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exeO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [AdwareAlert] C:\Program Files\AdwareAlert\AdwareAlert.Exe -bootO4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32undll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [meet hope] C:\DOCUME~1\MELOTO~1\APPLIC~1\AMOKPE~1\Surfokaybuild.exeO4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quietO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: BlackICE Utilitaire .lnk = ?O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exeO8 - Extra context menu item: &RSDN Search - res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htmO8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htmO8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)O14 - IERESET.INF: START_PAGE_URL=http://www.google.frO16 - DPF: Interface Chat Voila - http://chat9.x-echo.com/version5/Applet/vchatsign.cabO16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\blackd.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exeO23 - Service: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICEapapp.exeO23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exeO23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe (file missing)

jean38 · Answer

je ne vois pas les resultats de rav???jean

melo · Answer

le rav a absolument rien trouver, ce matin j'ai fait panda en ligne et l'antirvirus en ligne de secuser... ils n'ont rien trouver non plus...Merci de ton aide

melo · Answer

detail peut etre important lors de ma recherche en mode sans echec par kapersky il me disais qu'il devais redemarer pour terminer la desinfection, ce qui n'a pas ete pris en compte

melo · Answer

me suis vraiment mal exprimer dans mon post precedenten fesant une analyse en mode sans echec du dossier concerné ( wininet.dll dans le systeme 32) il a reussi a faire un desinction mais a priori incomplete car il a demander de redemarer le pc pour pouvoir rendre cette desinfection complete... ce qui n'a malheureusement pas ete pris en compte car il ma remis alerte virus des l'ouverture de kaperskyvala c plus clair

jean38 · Answer

bon y a bien des choses dont on va s'occupercependant avant de s'en occuper je voudrais que tu testes quelques fichiers inconnus,tout d'abord,recherche l'emplacement de Surfokaybuild.exe (passe pas rechercher pour le trouver sur ton disque)puis va sur le sitehttp://virusscan.jotti.orget teste le, tu parcours pour retrouver son emplacement puis tu submit.colle le rapport et poste

melo · Answer

rien dans la recherche, rien dans le chemin donner dans le log je me souviens avoir desisnfecter ce truc avec ad-aware

jean38 · Answer

bon alors on va le soigner definitivement:fait ce qui suit dans l'ordre.1) clic droit sur poste de travail propriété restauration systeme coche desactivé puis appliquer 2) demarrer panneau de configuration outil option des dossiers affichage, coche afficher dossier cachés decoche : masquer extension des fichiers dont le type est connu masquer les fichiers protégés du systeme d'exploitation. 3) demarre en mode sans echec. Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran) 4) lance hijack ferme le log block note et coche les cases concernant les lignes suivantes de ton logF2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O4 - HKCU\..\Run: [meet hope] C:\DOCUME~1\MELOTO~1\APPLIC~1\AMOKPE~1\Surfokaybuild.exe O8 - Extra context menu item: &RSDN Search - res://C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL/GoVM.dll.htm O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/installer-hidden-test.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab puis tu valides par fixe ...ensuite tu supprime (si toujours là)C:\WINDOWS\System32\msmsgs.exe attention celui qui se trouve dans system 32 pas ailleurs.execute cleanup312.exe redemarre et dit moi ou tu en es de tes pbjean

melo · Answer

bon j'ai tout fais comme tu m'a dis  et du coup j'en n'est profiter pour refaire un kapersky, qui ma refait la mm chose et j'ai tjr ce virus.... Merci bcp pour le menage que tu ma permis de faire, c deja ca de gagnéBon je continu mes recherche pour ce foutu virus de m... si qq un a des infos merci de me les faire partagervoila le dernier log:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO2 - BHO: (no name) - {04711AF9-1C6D-585C-A740-93DD53D9DB3A} - (no file)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL (file missing)O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [bend phone great ford] C:\Documents and Settings\All Users\Application Data\flapboldbendphone\mixsetup.exeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [AdwareAlert] C:\Program Files\AdwareAlert\AdwareAlert.Exe -bootO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quietO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: BlackICE Utilitaire .lnk = ?O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exeO8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htmO8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)O14 - IERESET.INF: START_PAGE_URL=http://www.google.frO16 - DPF: Interface Chat Voila - http://chat9.x-echo.com/version5/Applet/vchatsign.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\blackd.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exeO23 - Service: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICEapapp.exeO23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exeO23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe (file missing)

melo · Answer

il avais pas tout pris voila le reste:Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\ISS\BlackICE\blackd.exeC:\WINDOWS\System32\mnmsrvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ISS\BlackICEapapp.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Messenger Plus! 3\MsgPlus.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\iTunes\iTunesHelper.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\ISS\BlackICE\blackice.exeC:\Program Files\AntiViral Toolkit Pro\avpm.exeC:\Program Files\Yahoo!\Messenger\ymsgr_tray.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\melotoinou\Bureau\hijackthis\HijackThis.exe

melo · Answer

je viens d'aller sur http://virusscan.jotti.org/ pour y analyser la dll infecter ( wininet.dll dans le sys32)les resultats:File:  wininet.dll  Status:  INFECTED/MALWARE  MD5  d7fadaacf1b819b477756bb2802c0e53  Packers detected:  - Scanner results  AntiVir  Found nothing ArcaVir  Found nothing Avast  Found nothing AVG Antivirus  Found nothing BitDefender  Found nothing ClamAV  Found nothing Dr.Web  Found Trojan.DownLoader.2636  F-Prot Antivirus  Found nothing Fortinet  Found Nsag.A  Kaspersky Anti-Virus  Found Virus.Win32.Nsag.a  NOD32  Found Win32/Oleloa.A  Norman Virus Control  Found nothing VBA32  Found nothing

jean38 · Answer

j'avais oublié, mieux vaut virer messanger 3 plus plein de soucis,donc en sans echecfix dans hijackO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart et C:\Program Files\Messenger Plus! 3<< le dossieret donc winnet.dll dans system 32 ce fut long mille excuses

melo · Answer

Bon j'ai trouver qq info sur mon pseudo virus qui apparemment est un trojan qui est fixer sur ma dll donc on ma dit " sois tu bloque ta dll a partir de ton firewall sois tu formatte!!!" je suis enormement avancer parce que je n'arrive pas a la bloquer sur mon fire wall!!!Je fais comme tu dis et je reviens te dire si c bon ou pasmerci enormement de m'aider

melo · Answer

ne sois pas dsl si ca mets aprfois du temps pour tes reponse franchement c deja genial que tu m'aide MILLE MERCIbon j'ai tout fait comme tu ma dit, mais j'ai tjr ma dll infecter ( sois wininet.dll et non pas winnet.dll)je continu encore un peu a chercher des solutions mais je commence serieusement a penser au formatage!! pfffff

Utilisateur anonyme · Answer

salut melolance un scan chez RAV : http://www.ravantivirus.com/scan/ Clique sur "To continue without subscribing click here" et attends quelques minutes. Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC" A la fin de l'analyse, copie/colle le rapport ici a+

melo · Answer

salut regisje refait mais j'ai fait tout a l'heure et ca n'a rien donner...je tente encore on ne sais jamaisa+

Utilisateur anonyme · Answer

ah dsl j avais pas vu !!qui te le detecte? ton antivirus?tu peux coller le rapport de ses alertes?a+

melo · Answer

c vraiment pas gravej'ai refait et il n'a rien trouver j'ai kaperskyen fait je ne trouve pas les rapport ( sois ej ne trouve pas ou il les range sois cleanup les a virer)enfin , sur l'alerte il y a d'ecrit nom du virus:  virus.win32.nsag.aobjet infecte:  C:\WINDOWS\system32\WININET.dllProblème d'I/O error. Echec en désinfection.merci de ton aide

jean38 · Answer

t'inquiete pas recherche en cours.jean

melo · Answer

merci c vraiment super sympa, moi aussi je cherche des infos de mon cotéa+

jean38 · Answer

j'essaie de chopper Moe, c'est une bete.mais là on dirait qu'il a pris l'air; peut etre on l'aura plus tard dans la soirée.a toutejean

Utilisateur anonyme · Answer

salut,cette dllDLL Name: Internet Extensions for Win32je sais pas on peut le virer et la retelecharger, moi je vois que ca,d autres avis?

Utilisateur anonyme · Answer

salutune bete lol faut pas pousser !les seuls renseignements que j'ai pu trouver sur le sujet, c'est le remplacement du fichier WININET.dll  corrompu par un fichier sain.tu peux quand meme essayer de désactiver la restauration systeme, puis de redemarrer en mode sans echecs et de lancer kaspersky pour qu'il essaye de reparer. (c'est peut etre la restau systeme qui gene ?).ensuite reposte un hijack, pour voir...a+

melo · Answer

je viens d'aller sur le site de kaspersky apparement c un virus qui a ete decouvert aujourd'hui et il n'y a pas encore de definition disponible dans leur encyclopedie...a mon avis il ne me reste qu'a patienter gentimentMerci beaucoup jeanJe vous tiens au courant si je trouve autre chose ( comme il est tout nouveau ca devrais aider pour les jour a venir )A+

melo · Answer

je n'avais pas vu le post de moec deja fait 3 fois il dit qu'il ne peut pas desinfecter et a la fin de l'analyse il me dit qu'il a desinfecter le fichier et qu'il doit redemarer le pc pour me remplacer la dll par un fichier sain, donc je fais ce qu'on me dit et quand je redemarre en mode normal rebelote le virus est tjr la...Merci moe A+

melo · Answer

au fait j'ai penser a suprimer la dll et la remplacer par une fichier sain mais l'acces m'est refusser et ca mm en mode sans echec ( dsl j'avais pas tout lu le message)a+

Utilisateur anonyme · Answer

salutessaye de faire ceci en mode sans echecs et restauration systeme désactivé:1 sauvegarde WININET.dll va dans C:\WINDOWS\system32\ et clic droit sur WININET.dllenvoyer vers > dossier compressé.2 Rend visible les fichiers cachés et systeme panneau de configuration > options des dossiers > onglet affichage Cocher " afficher les fichiers et dossiers cachés "Décocher " masquer les fichiers protégés du système"clic sur ok pour valider3Va dans C:\WINDOWS\system32\dllcachetu devrais trouver une copie de wininet.dllfais clic droit dessus puis clic sur copier4reviens dans C:\WINDOWS\system32 clic droit>collertu devrais avoir un message te disant que le fichier existe déjà et si tu veux le remplacer, accepte.5redemarre le pc et dis moi si kaspersky le detecte toujoursa+

melo · Answer

re salutje viens de faire tout ce que tu m'a demander ( a savoir  ma restauration systeme est desactiver en permanance) qd je veux remplacer la dll j'ai un message : imposible de copier wininet.dll cette resource est utilisée par une autre personne ou un autre programmel'idee etais genial, je pensais vraiment que cette fois ci ca marcheraismerci moea+

melo · Answer

j'oubliais  ( decidement chez moi c une habitude)quand j'ai voulu faire :sauvegarde WININET.dll va dans C:\WINDOWS\system32\ et clic droit sur WININET.dll envoyer vers > dossier compressé. je n'avais pas ce choix dans envoyer vers, donc j'ai compresser avec winrar... je ne sais pas si c vraiment ce qu'il fallais faire

jean38 · Answer

juste une petite incursion, t'as essayé en sans echec??jean(avant de partir mais je crois qu'on se rapproche de la verité)

melo · Answer

vi tout ca j'ai fais en sans echecmerci bcp jean

Utilisateur anonyme · Answer

bon, pas faciletelecharge process xp ici:http://www.sysinternals.com/files/procexpnt.zipDézippe process xp et double clic sur processxp.execlic sur find puis sur find dlldans la fenetre qui s'ouvre, tape wininet et clic sur searchnote le nom de tous les processus qui apparaissent et poste le resultat ici + un log hijackthis.une petite aide en image ici:http://cjoint.com/data/gjv24cxray.htma+

melo · Answer

donc resultat processxp: SVCHOST.EXE( 2 fois ),  IEXPLORE.EXE, EXPLORER.EXE, iTunesHelper.exe, MSNMSGR.EXE, ALG.EXE, YPager.exeet le log hijack:Logfile of HijackThis v1.99.1Scan saved at 22:13:47, on 13/05/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\iTunes\iTunesHelper.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\ISS\BlackICE\blackice.exeC:\Program Files\AntiViral Toolkit Pro\avpm.exeC:\Program Files\ISS\BlackICE\blackd.exeC:\WINDOWS\System32\mnmsrvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ISS\BlackICEapapp.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\Yahoo!\Messenger\ypager.exeC:\Documents and Settings\melotoinou\Bureau\ProcessExplorerNt\procexp.exeC:\Documents and Settings\melotoinou\Bureau\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO2 - BHO: (no name) - {04711AF9-1C6D-585C-A740-93DD53D9DB3A} - (no file)O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL (file missing)O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [bend phone great ford] C:\Documents and Settings\All Users\Application Data\flapboldbendphone\mixsetup.exeO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [AdwareAlert] C:\Program Files\AdwareAlert\AdwareAlert.Exe -bootO4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32undll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quietO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: BlackICE Utilitaire .lnk = ?O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exeO8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htmO8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing)O14 - IERESET.INF: START_PAGE_URL=http://www.google.frO16 - DPF: Interface Chat Voila - http://chat9.x-echo.com/version5/Applet/vchatsign.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\blackd.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exeO23 - Service: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICEapapp.exeO23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exeO23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe (file missing)

Utilisateur anonyme · Answer

salutben, processxp n'a pas apporté grand choseen mode sans échec Lance hijackthis et clic sur "do a system scan only"cocher la case au début des lignes suivantes:O2 - BHO: (no name) - {04711AF9-1C6D-585C-A740-93DD53D9DB3A} - (no file) O3 - Toolbar: Virtual Maid - {77B2F8DE-CB3F-4b6b-839B-807DD1ADBA1C} - C:\PROGRA~1\VIRTUA~1\VIRTUA~1.DLL (file missing) O4 - HKLM\..\Run: [bend phone great ford] C:\Documents and Settings\All Users\Application Data\flapboldbendphone\mixsetup.exe O4 - HKLM\..\Run: [AdwareAlert] C:\Program Files\AdwareAlert\AdwareAlert.Exe -boot O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll (file missing) O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe (file missing)valider avec [fix checked]Supprime en suivant le chemin des fichiers infectés si présent:C:\Documents and Settings\All Users\Application Data\flapboldbendphoneC:\Program Files\AdwareAlertC:\Program Files\Virtual Maidredemarre normalement et reposte un logC'est quand meme bizarre que tu ne puisse pas remplacer wininet, est ce que tu peux reessayer en refaisant point par point comme au post 28, mais en désactivant ton AV avant de faire la manip ?je dois arreter pour ce soir, je repasse demain en fin d'apres midia+

melo · Answer

merci bcp moi aussi je deco je fais la manip et je vais au litmais franchement vous etes extra de m'aider comme caa+

melo · Answer

a priori mon AV n'est pas activer en mode sans echec ( je suis aussi aller voir dans le gestionnaire des tache il n'y est pas) j'essai en mode normal et j'arete pour ce soir, merci bcp a+voila le log suite au manip que j'ai fait:Logfile of HijackThis v1.99.1Scan saved at 23:17:28, on 13/05/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\iTunes\iTunesHelper.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\ISS\BlackICE\blackice.exeC:\Program Files\AntiViral Toolkit Pro\avpm.exeC:\Program Files\Yahoo!\Messenger\ymsgr_tray.exeC:\Program Files\ISS\BlackICE\blackd.exeC:\WINDOWS\System32\mnmsrvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ISS\BlackICEapapp.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\iPod\bin\iPodService.exeC:\Documents and Settings\melotoinou\Bureau\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32undll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quietO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: BlackICE Utilitaire .lnk = ?O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exeO8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htmO8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO14 - IERESET.INF: START_PAGE_URL=http://www.google.frO16 - DPF: Interface Chat Voila - http://chat9.x-echo.com/version5/Applet/vchatsign.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\blackd.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exeO23 - Service: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICEapapp.exeO23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exeO23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe (file missing)

melo · Answer

salut

ce matin j'ai essayer de fermer tout les processus actif qui utilisais la dll( en mode sans echec ) le seul qui bloque c EXPLORER.EXE, qd je veut le fermer toute les fenetre se ferme ( ce qui est normal apparemment a moins que je me trompe!!) tous ca dans le but d'effacer la dll pourri pour la remplacer par une saine!!

Ensuite j'ai reesayer, apres une mise a jour de mon AV, de refaire un desinsfection( tjr en mode sans echec). Donc il desinfecte la dll et me dit qui doit rebooter pour terminer la desinfection, je le fais rebouter en mode sans echec rien, le virus est tjr la, je le fait rebooter en mode normal rien non plus...

merci de votre aide

A+

jean38 · Answer

Salut melo,

je viens de reprendre ton log et je trouve un truc etrange.

alors voilà fix dans hijack la ligne:

O23 - Service: Microsoft Service Manager (winmdgr) - Unknown owner - C:\WINDOWS\winsvcmgr.exe (file missing)

ensuite,

Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Microsoft Service Manager
Double clic dessus (winsvcmgr.exe) et clic sur arreter puis dans type de demarrage selectionne désactivé

refait tes analyses

Jean

jean38 · Answer

t'es toujours là??

Utilisateur anonyme · Answer

salut melo, jean

on dirait les restes d'un ver...

tu peux carrement supprimer le service:
lance hijackthis > open the misc tools section > delete an NT service
dans la boite de dialogue, tape winmdgr et valide

vérifie et dis nous si ce fichier existe: haxdrv.sys

a+

melo · Answer

salut,oui oui je suis la je fesais les manip que tu m'avais demander ( j'ai fait en sans echec) et malheureusement tjr rien .....j'essai de faire la manip de moe et je reviensvoila le log:Logfile of HijackThis v1.99.1Scan saved at 12:42:03, on 14/05/2005Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\ISS\BlackICE\blackd.exeC:\WINDOWS\System32\mnmsrvc.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32undll32.exeC:\WINDOWS\system32\pctspk.exeC:\Program Files\ISS\BlackICEapapp.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\iTunes\iTunesHelper.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\iPod\bin\iPodService.exeC:\Program Files\ISS\BlackICE\blackice.exeC:\Program Files\AntiViral Toolkit Pro\avpm.exeC:\Program Files\Yahoo!\Messenger\ymsgr_tray.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\melotoinou\Bureau\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.frR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*http://www.yahoo.com/ext/search/search.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.comR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.comR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_5_7_0.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quietO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Global Startup: BlackICE Utilitaire .lnk = ?O4 - Global Startup: AVP Monitor.lnk = C:\Program Files\AntiViral Toolkit Pro\avpm.exeO8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htmO8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycdict.htmO14 - IERESET.INF: START_PAGE_URL=http://www.google.frO16 - DPF: Interface Chat Voila - http://chat9.x-echo.com/version5/Applet/vchatsign.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dllO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\blackd.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exeO23 - Service: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICEapapp.exeO23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

jean38 · Answer

salut Moe,

dis moi ce service
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

n'est pas en relation avec le prog que tu lui as fait supprimer plus haut??

amities
Jean

Utilisateur anonyme · Answer

salut jeande quel prog ? celui du post 47 ?sinon,  C:\WINDOWS\system32\pctspk.exe, je crois que c'est un outil de diagnostics pour modem.a+

melo · Answer

re salut jean et moe,

j'ai suprimer le service demander j'ai verifier si j'avais haxdrv.sys et non j'ai pas, voila...

toute vos idee sont genial et bien sur si vous en avez d'autre je suis preneuse, mais la je commence serieusement a me dire que formater serais peut etre la meilleur solutions...

franchement merci enormement de votre aide

a+

jean38 · Answer

non je pensais à celui làO4 - HKLM\..\Run: [bend phone great ford] C:\Documents and Settings\All Users\Application Data\flapboldbendphone\mixsetup.exe mai sfausse route

Utilisateur anonyme · Answer

je crois que c'est un reste de lop.com (messenger plus 3 installé avec sponsor).Pour melo: est ce que tu as ton cd d'xp ?

melo · Answer

voila ca va pas mieux lol il ma changer le nom du virus: &#7860;z||&#7860;{||Ã&#9474;||Ã}|Ã~||Ã&#913;Ã‹|r)‹|||{&#472;| alors la c le comble mdra+

melo · Answer

salutoui j'ai mon cd d'xp pro

Utilisateur anonyme · Answer

pour etre sur que ce ne soit pas un bug de ton av, fais analyser ici, wininet.dllhttp://www.kaspersky.com/fr/scanforvirusa+

melo · Answer

hier dans la journee j'ai envoyer ce post:

< 18 > - virus.win32.nsag.a ?????
Ajouté par melo (09/06/2005 à 16:29 GMT+2)
je viens d'aller sur http://virusscan.jotti.org/ pour y analyser la dll infecter ( wininet.dll dans le sys32)

les resultats:

File: wininet.dll
Status: INFECTED/MALWARE
MD5 d7fadaacf1b819b477756bb2802c0e53
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.DownLoader.2636
F-Prot Antivirus Found nothing
Fortinet Found Nsag.A
Kaspersky Anti-Virus Found Virus.Win32.Nsag.a
NOD32 Found Win32/Oleloa.A
Norman Virus Control Found nothing
VBA32 Found nothing

je suis aller sur le site de dr;web et sur celui de kaspersky ce matin et les deux on donner les mm resultats

Utilisateur anonyme · Answer

ok
si tu as ton cd d'xp, essaye d'utiliser la commande qui permet de vérifier l'intégrité des fichiers windows:

désactive la restauration systeme

Insére le CD-ROM de Windows XP dans le lecteur tout en maintenant la touche Maj appuyée afin d'éviter son exécution automatique

Par Démarrer/Exécuter, saisir la commande sfc /scannow (faire un espace entre sfc et le /).

je repasse se soir

a+

melo · Answer

ok j'essai ca je te remercie

j'ai trouver ca sur le site de kaspersky... peut etre ca peut aider ( ce n'etais pas la hier)

Virus.Win32.Nsag.a
Aliases
Virus.Win32.Nsag.a (Kaspersky Lab) is also known as: Trojan.DownLoader.2636 (Doctor Web), W32/Nsag.A (H+BEDV), W32/OleADM.A (Panda), Win32/Oleloa.A (Eset) Detection added Jun 07 2005
Behavior Virus

Currently there is no description available for this program.

As many viruses and worms are modifications of earlier versions, it may help you to check the descriptions of similar programs. If such descriptions are available, they will be listed at the top of the page.

Our virus analysts work hard to ensure that descriptions of the commonest and most potentially dangerous software are available to users. The Virus Encyclopedia is updated on a regular basis.

je doit filer donc je repasse en fin d'aprem

merci

a+

melo · Answer

salut,

la verif que moe ma demander de faire me cause pb parce que la verif me dit que c pas le bon cd de windows ( du moins pour les fichier dans dllcache) en effet j'ai formater y a quelque temps et changer de windows ( xp familial a xp gold)....

donc je pense serieusement au formatage je m'y prepare ce soir.

Merci enormement de votre aide vous avez ete genial

je recommande votre forum !!!!

A+ Melo

Utilisateur anonyme · Answer

salut melodur, durAvant de formater:telecharge rkfileshttp://skads.org/special/rkfiles.zipdouble clic sur rkfiles.bat et poste le log.a+

sébastien · Answer

bonjour tout le monde , je suis egalement infecté par ce trojan, je pense que je lai eu en me baladant sur astalavista. Estce que vous penser que ce soie possible de virer la dll, en connectant le disque dur en slave sur un autre ordinateur. Je pense que oui mais j'ose pas trop le faire car j'ai peur que du coup l'autre ordi soit infecté,ce qui m'embeterai bcp.

Virus.win32.nsag.a ?????

61 réponses

Votre réponse

Discussions similaires

Newsletters