IadHide5.dll : virus infernal?

Raistlin54 -  
Raistlin54 Messages postés 2 Statut Membre -
Bonjour,

Depuis plusieurs jours mon pc est fortement ralenti par ce fichier :
IadHide5.dll, qui s'accompagne de 5 autres : me_eGYLoKIvQufbZLg, me_fAKrxzq4e4UPdNV, me_FNsVi6xBqjZejFy, me_GECovg8cpvbl7Iz, me_GfF7n8QaZa1IdHf. Ils se trouvent tous dans le dossier Temp.

Je suis sous XP. Je n'arrive pas à les supprimer, mon antivirus ne les identifie même pas et Sysclean ne parvient pas à les supprimer non plus (il m'affiche une "erreur 94").
Je les ai supprimés en mode sans échec, mais ils réapparaissent à chaque démarrage.

Je n'ai trouvé nulle part de renseignements sur ce fichier dll.

Si quelqu'un pouvait m'aider ce serait sympa.

Merci...

11 réponses

  1. Utilisateur anonyme
     
    telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)
    (1) ad-aware version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip
    ***
    (2) spybot version 1.4

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite

    voir demo d utilisation
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
    ***

    et aussi ceci
    (3) CleanUp40.exe
    http://www.florensac-chasse-trap.com/ section virus/logiciel de securite

    voir demo
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ***
    (4) a2

    http://www.emsisoft.net/fr/
    penser a le metre a jour avant de scanner le pc
    ***
    ps : un grand merci a balltrap pour les lien :)

    (5) Edwido
    http://download.ewido.net/ewido-setup.exe
    Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

    Clique sur scanner puis sur scan complet du système.

    (6)SmitfraudFix

    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    ensuite telecharge hijackthis et colle le raport ici
    http://www.infos-du-net.com/telecharger/HijackThis.html
    demo :
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    @++++++++
    1
  2. Nilou17 Messages postés 2346 Date d'inscription   Statut Modérateur Dernière intervention   1 474
     
    Salut Raistlin !!!

    Télécharge ce petit programme, CleanUp! :
    http://pageperso.aol.fr/Balltrap34/CleanUp40.exe

    Ce programme supprimera le contenu de tes "dossiers temporaires" (Temp, Temporary Internet Files ...)
    Une fois installé, lance-le en double-cliquant sur l'icône CleanUp!
    Une fois la fenêtre ouverte, clique sur CleanUp! puis patiente.

    Un message te demandant de redémarrer apparaîtra.
    Accepte et redémarre.

    Tiens-nous au courant de l'évolution de ton problème !!!
    A+++++++
    0
  3. Raistlin54 Messages postés 2 Statut Membre
     
    Hélas ça n'a pas résolu le problème.
    J'ai bein utilisé CleanUp comme vous l'avaez conseillé mais au redémarrage les fichiers sont toujours là et mon pc plane toujours comme un vieux coucou.

    Je constate également qu'au lancement de wanadoo (mon fournisseur d'accès), celui-ci me demande toujours l'identification et le mdp de l'utilisateur, est-ce que ça pourrait être lié.

    D'autre part comme lorsque j'essayais de supprimer les fichiers je recevais un message d'erreur me disant qu'il était utilisé par une application en cours, j'ai essayé de fermer quasimment tous les processus et j'ai ensuite pu les supprimer. Mais là encore tout a réapparu au démarrage.

    Je ne sais vraiment plus quoi faire, à part reformater, mais franchement ça m'ennuie.
    0
  4. Raistlin54
     
    Bon j'ai fait tout ce que tu m'as dit, dans l'ordre prescrit.

    Voilà le rapport SmitFraudFix :

    Rapport fait à 17:14:35,54 le 16/12/2005
    Executé à partir de C:\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600]

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Steve\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    Et voilà le rapport hijackthis :

    Logfile of HijackThis v1.99.1
    Scan saved at 17:17:18, on 16/12/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
    C:\Program Files\Stardock\Object Desktop\ThemeManager\wbload.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\D-Tools\daemon.exe
    C:\Program Files\Winamp5\winampa.exe
    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
    C:\Program Files\AVPersonal\AVSched32.EXE
    C:\Program Files\AVPersonal\AVGNT.EXE
    C:\PROGRA~1\WANADOO\TaskBarIcon.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    C:\PROGRA~1\WANADOO\ComComp.exe
    C:\PROGRA~1\WANADOO\Toaster.exe
    C:\PROGRA~1\WANADOO\Inactivity.exe
    C:\PROGRA~1\WANADOO\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\PROGRA~1\WANADOO\Watch.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\a-squared\a2guard.exe
    C:\WINDOWS\explorer.exe
    C:\ewido\security suite\ewidoctrl.exe
    C:\WINDOWS\notepad.exe
    C:\Sysclean\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.wow-europe.com/fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.club-internet.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
    F3 - REG:win.ini: run=
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [wkgdmmxypr] C:\WINDOWS\System32\urgqos.exe
    O4 - HKLM\..\Run: [ynxrfiz] C:\WINDOWS\System32\urgqos.exe
    O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
    O4 - HKLM\..\Run: [mswspl] C:\WINDOWS\System32\urgqos.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp5\winampa.exe
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKLM\..\Run: [rep32] C:\WINDOWS\System32\rep32.exe
    O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
    O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [ATI Remote Control] C:\Program Files\ATI Multimedia\RemCtrl\ATIX10.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe EspaceWanadoo.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Startup: PowerReg Scheduler.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
    O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\TV\EXPLBAR.DLL
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/fr/wowbeta/Si.cab
    O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://autos.msn.com/components/ocx/survid/MSSurVid.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f004.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FD8358A1-147B-4832-9164-AEB1F52BE31E}: NameServer = 80.10.246.1 80.10.246.132
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O20 - Winlogon Notify: WB - C:\Program Files\Stardock\Object Desktop\ThemeManager\fastload.dll
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
    O23 - Service: ewido security suite control - ewido networks - C:\ewido\security suite\ewidoctrl.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
    O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

    Les fichiers sont toujours là bien sûr.

    Please help.... comme dirait Leeloo
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    salut lance hijack coche et fix ces lignes :

    O4 - HKLM\..\Run: [wkgdmmxypr] C:\WINDOWS\System32\urgqos.exe
    O4 - HKLM\..\Run: [ynxrfiz] C:\WINDOWS\System32\urgqos.exe
    O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe
    O4 - HKLM\..\Run: [mswspl] C:\WINDOWS\System32\urgqos.exe

    O4 - HKLM\..\Run: [rep32] C:\WINDOWS\System32\rep32.exe

    1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

    2. desactive ta restauration (pour win xp ) comme ceci :
    clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique

    3.cherche et supprime ce qui est en gras :
    O4 - HKLM\..\Run: [ynxrfiz] C:\WINDOWS\System32\urgqos.exe
    O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe
    O4 - HKLM\..\Run: [rep32] C:\WINDOWS\System32\rep32.exe ---- supprime si tu connais pas
    suprime le et vide ta corebeille

    reactive la restauration en suivant le meme chemin

    @+++++++
    0
  7. Raistlin54
     
    J'ai fait ce que t'as dit avec hijack, j'ai redémarré en mode sans échec, j'ai désactivé la restauration, mais impossible de trouver les fichiers (j'ai cherché avec l'assistant de recherche).

    J'ai donc redémarré en normal mais le problème persiste.
    0
  8. jpdeclermont Messages postés 1792 Statut Membre 382
     
    bsr,

    as-tu bien appliqué les modifs d'affichage des fichiers avant de lancer ta recherche ?

    ouvrir le poste de travail
    puis outils --> Options --> onglet affichage
    dans les paramètres avancés :
    cocher 'afficher le contenu des dossiers systeme'
    cocher 'afficher les fichiers et dossiers cachés'
    DE-cocher 'masquer les extensions des fichiers dont le type est connu'
    DE-cocher 'masquer les fichiers protégés du système'

    clic sur ok
    clic sur confirmer

    relance ta recherche
    0
  9. Raistlin54
     
    Voilà le rapport de panda :

    Incident Statut Analyse

    Spyware:spyware/searchcentrix Non désinfecté C:\WINDOWS\system32\IfHelper.dll
    Adware:adware/twain-tech Non désinfecté C:\WINDOWS\inf\twaintec.inf
    Dialer:Dialer.OK Non désinfecté C:\WINDOWS\Downloaded Program Files\mm20.INF
    Adware:Adware/MediaTickets Non désinfecté C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF

    Et celui de Bitdefender :

    Statistiques

    Temps
    02:57:47

    Fichiers
    184295

    Directoires
    2263

    Secteurs de boot
    5

    Archives
    1471

    Paquets programmes
    26044

    Résultats

    Virus identifiés
    1

    Fichiers infectés
    1

    Fichiers suspects
    3

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    4

    Info sur les moteurs

    Définition virus
    246332

    Version des moteurs
    AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

    Analyse des plugins
    13

    Archive des plugins
    39

    Unpack des plugins
    4

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    C:\WINDOWS\Downloaded Program Files\mm20.INF
    Infecté par: Trojan.Dloader.T

    C:\WINDOWS\Downloaded Program Files\mm20.INF
    Echec de la désinfection

    C:\WINDOWS\Downloaded Program Files\mm20.INF
    Supprimé

    C:\WINDOWS\BricoPackUninst.txt
    Suspecté de: BehavesLike:Bat.Delete

    C:\WINDOWS\BricoPackUninst.txt
    Echec de la désinfection

    C:\WINDOWS\BricoPackUninst.txt
    Supprimé

    C:\WINDOWS\BricoPackUninst.cmd
    Suspecté de: BehavesLike:Bat.Delete

    C:\WINDOWS\BricoPackUninst.cmd
    Echec de la désinfection

    C:\WINDOWS\BricoPackUninst.cmd
    Supprimé

    C:\System Volume Information\_restore{2CC64D04-D900-4F0E-BB92-2A68B43658A5}\RP1\A0000005.cmd
    Suspecté de: BehavesLike:Bat.Delete

    C:\System Volume Information\_restore{2CC64D04-D900-4F0E-BB92-2A68B43658A5}\RP1\A0000005.cmd
    Echec de la désinfection

    C:\System Volume Information\_restore{2CC64D04-D900-4F0E-BB92-2A68B43658A5}\RP1\A0000005.cmd
    Supprimé

    Je vais tenter ce que tu as dit JP
    0
  10. Utilisateur anonyme
     
    salut je vien de m'apercevoir que t'avais pas un antivirus donc installe un en urgance je te conseille avast il est gratuit et tres performant met le ajour et scan ton pc avec

    http://www.commentcamarche.net/download/telecharger-151-avast

    tutorial
    https://forums.cnetfrance.fr
    @+++++++++
    0
  11. Raistlin54 Messages postés 2 Statut Membre
     
    Si j'ai un ativirus, il s'agit d'antivir, qui est également gratuit.

    De toutes façons je vais reformater mon pc, ça fait une semaine que je me traîne cette saleté et j'en ai vraiment marre.

    Merci beaucoup d'avoir essayé de m'aider, je testerai ton antivirus.

    ++
    0