Bonjour, je suis infectée par dialer.instantAccess. J'ai essayé de faire les manip trouvées dans différents forum, mais je ne comprends pas tout... quelqu'un peut-il m'aider svp??? merci

[virus] Infecté par dialer.instantAccess [Résolu]

Réponse 1 / 6

^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
14 févr. 2006 à 08:33

Bonjour Christine,

Fais ceci :

TELECHARGE

1/

CleanUp! :
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
- Aide en image (merci à Balltrap34) :
http://pageperso.aol.fr/balltrap34/democleanup.htm

2/
Spybot S&D 1.4 <<nouvelle version.
http://www.safer-networking.org/fr/index.html

Démo d’utilisation (merci à Balltrap34 pour cette réalisation).
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

3/

Ad-Aware SE 1.06 <<nouvelle version.
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation).
http://pageperso.aol.fr/balltrap34/adawrevid.asf

4/
http://www.hijackthis.de/downloads/hijackthis_199.zip

Le dézipper dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < c : ! (Cela permet des back up en cas de mauvaises suppressions)
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

L’exécuter puis sur "do a system scan and save logfile" (cf. démo)

faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

un petit curetage
ewido (dowload)
http://www.ewido.net/fr/download/
COLLER le rapport

Bon courage
A+

christine
14 févr. 2006 à 09:16

voici le résultat du Hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 09:14:16, on 14/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\EasyPHP1-7\easyphp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\UNIVER~1\PDFDriver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NI.UWFX5V] "C:\Documents and Settings\MARJORIE\Local Settings\Temporary Internet Files\Content.IE5\9NBN5XOA\WinFixer2005ScannerInstallFRA[1].exe"
O4 - HKLM\..\Run: [EasyPHP] "C:\Program Files\EasyPHP1-7\easyphp.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Universal PDF Driver] "C:\PROGRA~1\UNIVER~1\PDFDriver.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Connect.cmd
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBxdm210YYFR
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/FunBuddyIconsFWBInitialSetup1.0.0.15.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C8AD650-0CFF-4F14-B3B6-71F32FB13B7D}: NameServer = 192.168.0.100,80.10.246.2,80.10.246.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C8AD650-0CFF-4F14-B3B6-71F32FB13B7D}: NameServer = 192.168.0.100,80.10.246.2,80.10.246.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C8AD650-0CFF-4F14-B3B6-71F32FB13B7D}: NameServer = 192.168.0.100,80.10.246.2,80.10.246.129
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: Service Elève pcAnywhere (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

christine
14 févr. 2006 à 09:43

voici le rapport de ewido

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 09:41:20, 14/02/2006
+ Somme de contrôle: 261B99AD

+ Résultats du scan:

HKLM\SOFTWARE\HbTools -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\HbTools\HbTools -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\HbTools\HbTools\PI -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\HbTools\HbTools\PI\3.2 -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\HbTools\Hotbar -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\HbTools\Hotbar\Install -> Adware.HotBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\WinSoftware\WinFixer 2005 -> Adware.WinFixer : Nettoyer et sauvegarder
[1080] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1104] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1148] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1160] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1308] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1388] C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Erreur durant le nettoyage
[1476] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1568] C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Erreur durant le nettoyage
[1624] C:\WINDOWS\system32\msclock32.dll -> Adware.NaviPromo : Erreur durant le nettoyage
[1848] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1876] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[2020] VM_00FE1000 -> Adware.NaviPromo : Erreur durant le nettoyage
[392] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[428] VM_10001000 -> Adware.NaviPromo : Erreur durant le nettoyage
[652] VM_01871000 -> Adware.NaviPromo : Erreur durant le nettoyage
[716] VM_00DB1000 -> Adware.NaviPromo : Erreur durant le nettoyage
[764] VM_00AC1000 -> Adware.NaviPromo : Erreur durant le nettoyage
[772] VM_02181000 -> Adware.NaviPromo : Erreur durant le nettoyage
[788] VM_00CE1000 -> Adware.NaviPromo : Erreur durant le nettoyage
[796] VM_08131000 -> Adware.NaviPromo : Erreur durant le nettoyage
[804] VM_00FC1000 -> Adware.NaviPromo : Erreur durant le nettoyage
[812] VM_00F21000 -> Adware.NaviPromo : Erreur durant le nettoyage
[820] VM_00B41000 -> Adware.NaviPromo : Erreur durant le nettoyage
[828] VM_01D61000 -> Adware.NaviPromo : Erreur durant le nettoyage
[836] VM_03171000 -> Adware.NaviPromo : Erreur durant le nettoyage
[844] VM_00BF1000 -> Adware.NaviPromo : Erreur durant le nettoyage
[852] VM_02D61000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1052] VM_00871000 -> Adware.NaviPromo : Erreur durant le nettoyage
[1332] VM_04F71000 -> Adware.NaviPromo : Erreur durant le nettoyage
[3692] VM_033A1000 -> Adware.NaviPromo : Erreur durant le nettoyage
C:\WINDOWS\system32\__delete_on_reboot__msclock32.dll -> Adware.NaviPromo : Nettoyer et sauvegarder
C:\Documents and Settings\MARJORIE\Cookies\marjorie@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\MARJORIE\Cookies\marjorie@com[2].txt -> TrackingCookie.Com : Nettoyer et sauvegarder

::Fin du rapport

christine > christine
14 févr. 2006 à 10:10

j'ai rebooté mon pc et et symantec détecte toujours le dialer...

Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009 106 > christine
14 févr. 2006 à 10:25

Bonjour christine,

Scanne ton PC avec Ewido en mode sans échec, pour ceci :

- Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode sans échec)

Ensuite exécute le scan de Ewido et normalement le dialer devrait disparaître.

Bonne chance :)

++

christine > Kristopher Messages postés 3731 Date d'inscription vendredi 18 novembre 2005 Statut Contributeur Dernière intervention 10 juillet 2009
14 févr. 2006 à 15:23

j'ai lancé ewido en mode sans echec et quand je reboote ça me met toujours la notification de symantec comme quoi une menace a été trouvé... et le résultat de Auto-protect Symantec me dit "opération inconnue"... le point positif c'est que quand je ferme ces écrans, il ne me met plus d'autres messages!!!
mais bon, j'aimerai ne plus avoir de notification symantec!!

Réponse 2 / 6

Qc001 Messages postés 256 Date d'inscription samedi 11 février 2006 Statut Membre Dernière intervention 9 juillet 2009 17
14 févr. 2006 à 16:19

Bonjour Christine, Marie ; Joyeuse St-Valentin à vous deux ;-)

Je prépare une réponse ; de retour dans 20 minutes.

Réponse 3 / 6

Qc001 Messages postés 256 Date d'inscription samedi 11 février 2006 Statut Membre Dernière intervention 9 juillet 2009 17
14 févr. 2006 à 16:34

Ok Christine ;

Lance le Bloc Notes, puis colle le texte en gras dans le nouveau fichier texte : sélectionne tout, de "REGEDIT4" jusqu'à "=-" :

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NI.UWFX5V"=-

- Clique le menu "Fichier" >> "Enregistrer sous..."
- Nomme le fichier winfix.reg
- Sous "Type :" change-le pour "Tous les fichiers"
- Choisis le Bureau comme destination, puis clique "Enregistrer"
- Va sur ton Bureau et double-clique le fichier winfix.reg et accepte la fusion.
====================================

Télécharge HijackThis! + Extra de ce lien :
http://metallica.geekstogo.com/setuphjt.exe

Sauvegarde le sur ton Bureau.
Double-clique sur le fichier afin d'en extraire le contenu. Un raccourci HJT and More sera créé (Bureau), et l'outil sera extrait dans C:\HJT
Double-clique sur le raccourci HJT and More, puis double-clique ht.bat
Une fenêtre DOS apparaîtra;
Après quelques secondes, un fichier texte nommé hijackthis.log apparaîtra; ferme le. Un second fichier texte nommé both.log sera maintenant visible.
Copie puis colle tout le contenu de both.log dans ta prochaine réponse. (Ferme toutes les fenêtres générées par HijackThis! par la suite).

Bon succès :-)

christine
14 févr. 2006 à 17:08

voici le contenu de both.log :

Logfile of HijackThis v1.99.1
Scan saved at 17:05:34, on 14/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\EasyPHP1-7\easyphp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\UNIVER~1\PDFDriver.exe
C:\windows\system32\vcptjbsqy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\system32\ping.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EasyPHP] "C:\Program Files\EasyPHP1-7\easyphp.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Universal PDF Driver] "C:\PROGRA~1\UNIVER~1\PDFDriver.exe"
O4 - HKLM\..\Run: [vcptjbsqy] c:\windows\system32\vcptjbsqy.exe vcptjbsqy
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Connect.cmd
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBxdm210YYFR
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/FunBuddyIconsFWBInitialSetup1.0.0.15.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C8AD650-0CFF-4F14-B3B6-71F32FB13B7D}: NameServer = 192.168.0.100,80.10.246.2,80.10.246.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C8AD650-0CFF-4F14-B3B6-71F32FB13B7D}: NameServer = 192.168.0.100,80.10.246.2,80.10.246.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C8AD650-0CFF-4F14-B3B6-71F32FB13B7D}: NameServer = 192.168.0.100,80.10.246.2,80.10.246.129
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: Service Elève pcAnywhere (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iexplore.exe
doesn't exist HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
doesn't exist HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido]
@="{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Fichiers hors connexion]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\LDVPMenu]
@="{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With]
@="{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu]
@="{A470F8CF-A1E8-4f65-8335-227475AA5C46}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinZip]
@="{E0D79304-84BE-11CE-9641-444553540000}"

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}]
@="Épingle du menu Démarrer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe"
"AudioDeck"="C:\\Program Files\\VIAudioi\\SBADeck\\ADeck.exe 1"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"EasyPHP"="\"C:\\Program Files\\EasyPHP1-7\\easyphp.exe\""
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"
"Universal PDF Driver"="\"C:\\PROGRA~1\\UNIVER~1\\PDFDriver.exe\""
"vcptjbsqy"="c:\\windows\\system32\\vcptjbsqy.exe vcptjbsqy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

Scheduled Tasks Folder Contents
*
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\SA.DAT

^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275 > christine
14 févr. 2006 à 17:13

Christine,
Supprime "MY WEB SEARCH" dans ajout/supp des programmes (

On le voit ici :
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBxdm210YYFR

Faudrait supprimer cici aussi :
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/FunBuddyIconsFWBInitialSetup1.0.0.15.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

Réponse 4 / 6

Qc001 Messages postés 256 Date d'inscription samedi 11 février 2006 Statut Membre Dernière intervention 9 juillet 2009 17
14 févr. 2006 à 17:30

Excellent Christine ; je te refile la suite :

Télécharge KillBox (par Option^Explicit) de ce lien :
http://www.atribune.org/downloads/KillBox.exe

..et sauvegarde-le sur ton Bureau. Double-clique KillBox.exe ;

- Copie/colle le chemin de fichier ci-bas dans la boîte "Full Path of File to Delete" :

C:\windows\system32\vcptjbsqy.exe

- Coche "Delete on Reboot"
- Clique sur le bouton "Kill" (cercle rouge avec "X" blanc)
- Réponds "Yes" à la question "Would you like to reboot now ?"
- KillBox devrait maintenant redémarrer ta bécane ; s'il ne le fait pas, redémarre. Au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages. Choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non "Administrateur".
- Lance HijackThis! (version régulière) et clique "Do a system scan only", puis coche cette ligne :

O4 - HKLM\..\Run: [vcptjbsqy] c:\windows\system32\vcptjbsqy.exe vcptjbsqy

Clique "Fix checked", ferme HijackThis!, puis redémarre en Normal.
=====================

Prochaine étape :

- Télécharge le Brute Force Uninstaller (de Merijn) de ce lien :
http://www.merijn.org/files/bfu.zip

- Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

- Fais un clic-droit sur le lien suivant :
http://metallica.geekstogo.com/InstantAccess.BFU

...et choisis "Enregistrer la cible sous..." afin de télécharger "InstantAccess.bfu" (de Metallica). Sauvegarde-le dans le dossier créé (C:\BFU). **Si tu utilises Internet Explorer ; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : InstantAccess.bfu et BFU.exe (très important).

- Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe

- Sous Scriptline to execute copie/colle cette ligne :

c:\bfu\InstantAccess.bfu

- Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur "OK". (c'est très rapide..)
Clique Exit pour fermer le programme BFU.

- Redémarre le PC. Poste un nouveau rapport HijackThis! (version régulière) dans ta prochaine réponse.

Bon succès :-)

Réponse 5 / 6

Qc001 Messages postés 256 Date d'inscription samedi 11 février 2006 Statut Membre Dernière intervention 9 juillet 2009 17
14 févr. 2006 à 18:38

Un petit oubli de ma part Christine...

Ne fixe pas cette ligne avec HijackThis! :

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

...car tu en auras besoin de ce contrôle ActiveX bientôt... Pas grave si tu l'as déjà fixée cependant, mais ça te fera un téléchargement de 8+ Mo à faire, lorsque je te prescrirai le scan chez Panda (prochaine étape... pas tout de suite).

@+, et bon courage :-)

Réponse 6 / 6

christine
16 févr. 2006 à 09:07

Bonjour,
désolée, hier j'étais en formation... je n'ai pas pu m'occuper de ce ... de virus!!
j'ai fait la première partie (télécharger killbox...et BFU)
mais quand je fais un clic droit sur http://metallica.geekstogo.com/InstantAccess.BFU et enregistré la cible sous... , ça me met un message "Internet explorer ne peut télécharger InstantAccess.BFU'); de ol('http.
Cette interface n'est pas prise en charge."

[virus] Infecté par dialer.instantAccess

6 réponses

Discussions similaires