Infecté par serwab ou idd29.tmp

Résolu
vrsko Messages postés 94 Statut Membre -  
Kristopher Messages postés 3752 Statut Contributeur -
Bonjour tout le monde,

Après cosultation des différents sites je me tourne vers vous car je suis incapable de résoudre mon problème. Je n'ai jamais été affecté par un virus et donc ça devait arriver un jour. Je vous explique ce qui m'arrive.

J'utilise Zone Alarm et Avast pour me protégé des virus (apparament non suffisant).
Quand je lance internet explorer j'ai des pages qui s'affichent et qui me disent que je suis infecté par Serwab. On me propose d'acheter un soit disant logiciel antivirus. De temps en temps j'ai aussi un message windows intitulé IDD29.tmp avec un texte en espagnole...

J'ai lancé Avast au démarage de Windows mais il n'a rien trouvé. J'ai lancé Spyboot et Ad aware et j'ai effacé tout ce qui était infecté. Mais le problème persiste.

Avez vous s'il vous plaît une idée de quel virus s'agit il? Vous avez besoin le rapport de quel logiciel? Ewido ou autre?

Merci d'avance pour votre aide

34 réponses

  • 1
  • 2
  1. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonsoir vrsko,

    Télécharge Blacklight (de F-Secure) ici :
    https://www.f-secure.com/en

    Clique en bas sur "I ACCEPT" puis sur "Download Blacklight Beta graphical user interface version".

    Sauvegarde le programme sur ton Bureau.

    Double-clique sur "blbeta.exe" et clique sur "I accept the agreement". Puis clique sur "Scan" et attends un peu… Ensuite clique sur "Next".

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les "xxxxxxx" sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    0
  2. vrsko Messages postés 94 Statut Membre
     
    Merci beaucoup pour ta réponse rapide.
    Des précisions sur ce que j'ai fais avant d'effectuer le scan avec le logiciel dont tu me parle.
    J'ai démaré windows en mode sans échec et j'ai lancé progressivement Spyboot, Adaware - Rien
    Puis smidfraufix avec lequel j'ai effacé les problèmes
    Puis ccleaner - effacé les pbs et corrigé les erreurs
    Puis j'ai lancé un scan complet avec Ewido qui m'a trouvé 7 fichiers infectés - je les ai effacé.
    Enfin j'ai lancé hijjack et j'ai enregistré le rapport (je peux le poster si vous voulez)
    A la fin j'ai lancé Fixvundo.exe de chez symantec mais il n'a rien trouvé.
    J'ai également effacé les fichiers présents dans windows\temp

    Voilà le résultats mais j'ai l'impression qu'il n'a rien trouvé :
    10/08/06 20:07:24 [Info]: BlackLight Engine 1.0.47 initialized
    10/08/06 20:07:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    10/08/06 20:07:24 [Note]: 7019 4
    10/08/06 20:07:24 [Note]: 7005 0
    10/08/06 20:07:36 [Note]: 7006 0
    10/08/06 20:07:36 [Note]: 7011 1132
    10/08/06 20:07:36 [Note]: 7026 0
    10/08/06 20:07:37 [Note]: 7026 0
    10/08/06 20:07:41 [Note]: FSRAW library version 1.7.1020
    10/08/06 20:11:50 [Note]: 2000 1012
    10/08/06 20:14:22 [Note]: 7007 0

    Sinon je te joins quand même le rapport d hijjack

    Logfile of HijackThis v1.99.1
    Scan saved at 19:55:07, on 08/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\TEMP\win17.tmp.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {28C0D0A2-8FC5-4812-B224-662A98EA36F8} - C:\WINDOWS\system32\jkhhg.dll
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
    O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
    O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - Global Startup: dlbcserv.lnk.disabled
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} - https://tiragesphoto.fnac.com/
    O17 - HKLM\System\CCS\Services\Tcpip\..\{574F14FD-4BC9-4F6E-9ECC-8698AF9C2BD7}: NameServer = 194.117.200.10,194.117.200.15
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Voilà.
    Remarque - depuis mon nétoyage internet semble fonctionner normalement (plus de message sur le serwab), par contre j'ai de temps en temps les messages windows avec d'autres fichiers idxxxxx.tmp et suivant d'un texte en langue étrangère.
    0
  3. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    T'es toujours infecté.

    Scanne ton PC avec cet antivirus en ligne (uniquement sous IE) :
    http://www.bitdefender.fr/scan8/ie.html
    Clique sur "J'accepte" puis accepte également l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut).
    Ensuite, clique sur "Cliquez ici pour scanner".
    Patiente jusqu'à la fin du scan...
    Copie/colle le rapport entier sur le forum.

    Et t'as aussi chopé pas mal de spywares :

    Télécharge, mets à jour et scanne ton PC avec Windows Defender :
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/31195.html

    Tu peux remettre un nouveau log HT à la fin.

    a+
    0
  4. vrsko Messages postés 94 Statut Membre
     
    Voilà le rapport de bitdefender. Il a trouvé deux virus dont un qu'il n'arrive pas de supprimer.

    BitDefender Online Scanner

    Rapport d'analyse généré à: Sun, Oct 08, 2006 - 21:21:40

    Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;

    Statistiques

    Temps
    00:45:50

    Fichiers
    245550

    Directoires
    5442

    Secteurs de boot
    6

    Archives
    3677

    Paquets programmes
    19863

    Résultats

    Virus identifiés
    2

    Fichiers infectés
    2

    Fichiers suspects
    0

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    1

    Info sur les moteurs

    Définition virus
    474418

    Version des moteurs
    AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

    Analyse des plugins
    13

    Archive des plugins
    38

    Unpack des plugins
    6

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    C:\WINDOWS\system32\nnnljkl.dll
    Infecté par: DeepScan:Generic.Malware.SYddldg.6AD3E836

    C:\WINDOWS\system32\nnnljkl.dll
    Echec de la désinfection

    C:\WINDOWS\system32\nnnljkl.dll
    Supprimé

    C:\WINDOWS\system32\winmyy32.dll
    Infecté par: Trojan.Klone.H

    C:\WINDOWS\system32\winmyy32.dll
    Echec de la désinfection

    C:\WINDOWS\system32\winmyy32.dll
    Echec de la suppression

    Je vais lancer windows defender.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. vrsko Messages postés 94 Statut Membre
     
    Ca y est les pages web qui me proposent d'acheter un antivirus sont de retour. Le virus est bien encore là.

    J'ai juste une question de coriosité. Je vois sur le forum que je ne suis pas le seul à avoir ce problème. Il s'agit d'un virus connue ou pas?
    en espèrant que vous pouriez m'aider je vous souhaite une bonne nuit.
    0
  7. exocet_29 Messages postés 20 Statut Membre
     
    Salut
    Je suis "rassuré" en qq sorte. J'ai moi aussi un message en italien d'un fichier idd156.tmp.
    Je vais essayer les soluces du dessus et je vous tiens auu courant.
    Tchao.

    Exo
    0
  8. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    Alors as-tu scanné complètement le PC et supprimé toutes les infections trouvées par Windows Defender ?

    Redonne un nouveau log HT comme je te l'avais dit.

    a+
    0
  9. vrsko Messages postés 94 Statut Membre
     
    Excuse moi mais je n'ai pas compris ce que veut gire "log HT"? Windows defender n'a rien trouvé sinon.
    0
  10. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    C'est important : après avoir fait toutes les mises à jour du logiciel, tu as fais un "Full System scan" ?

    Si non, un HT c'est tout simplement un nouveau log HijackThis pour faire le point et fixer les lignes néfastes qui persistent ;)

    a+
    0
  11. vrsko Messages postés 94 Statut Membre
     
    Ok lol pour le log HT.

    Voilà le nouveaux log après windows defender avec le full scan.

    Logfile of HijackThis v1.99.1
    Scan saved at 22:32:01, on 09/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\BroadJump\Client Foundation\CFD.exe
    C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\{08781636-0828-1036-1107-030406230021}\Update.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7AF19C8E-BDE9-4B40-858E-6F0A73DDB608} - C:\WINDOWS\system32\jkhhg.dll
    O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\fqpmpiur.dll
    O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
    O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
    O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - Global Startup: dlbcserv.lnk.disabled
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - spaces.msn.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - messenger.zone.msn.com/binary/Chess.cab31267.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} - www.fnacphoto.com/ectelechargement/xupload/XUpload.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{574F14FD-4BC9-4F6E-9ECC-8698AF9C2BD7}: NameServer = 194.117.200.10,194.117.200.15
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Sinon je ne sais pas si tu as vu mais le scan de bitdefender m'a trouvé deux virus. Il a réussit à en supprimer un mais l'autre (C:\WINDOWS\system32\winmyy32.dll
    Echec de la suppression )
    est toujours présent. Dois je le supprimer (si oui comment)?
    Merci pour ton aide.
    0
  12. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    Télécharge Look2Me-Destroyer.exe sur ton Bureau.

    http://www.atribune.org/ccount/click.php?id=7

    * Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
    * Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
    * Coche "Run this program as a task"
    * Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique [OK]
    * Il se relancera après les 10 secondes, puis clique sur le bouton "Scan for L2M"; les icônes de ton Bureau vont disparaître : c'est normal !
    * Lorsque le scan termine, clique sur le bouton "Remove L2M"
    * Un message "Done Scanning" apparaîtra, clique [OK].
    * Un nouveau message s'affichera : "Done removing infected files! Look2Me-Destroyer will now shutdown your computer"; clique [OK].
    * Ton PC va maintenant s'éteindre.
    * Démarre ton PC normalement.
    * Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

    #Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

    ##Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte !

    ###Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-dessous, et place-le dans le dossier C:\Windows\System32
    http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

    a+
    0
  13. vrsko Messages postés 94 Statut Membre
     
    j'ai suivi tes instructions. J'ai lancer look2me destroyer. Après le scan j'ai lancé "remove l2m" et j'ai eu un petit message "Copy File" dans lequel était écrit "Error 75 Path/File access error". Quand j'ai cliqué sur ok la procédure a continué comme tu l'as indiqué.

    Voici le rapport :

    Look2Me-Destroyer V1.0.12

    Scanning for infected files.....
    Scan started at 09/10/2006 22:49:01

    Attempting to delete infected files...

    Making registry repairs.

    Restoring Windows certificates.

    Replaced hosts file with default windows hosts file

    Restoring SeDebugPrivilege for Administrateurs - Succeeded

    Et voici le log HT :

    Logfile of HijackThis v1.99.1
    Scan saved at 23:00:00, on 09/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\BroadJump\Client Foundation\CFD.exe
    C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\{08781636-0828-1036-1107-030406230021}\Update.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\fqpmpiur.dll
    O2 - BHO: (no name) - {87E9B09A-ADFC-4B55-8E5E-6BDDF4E78C34} - C:\WINDOWS\system32\jkhhg.dll
    O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
    O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
    O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - Global Startup: dlbcserv.lnk.disabled
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} - https://tiragesphoto.fnac.com/
    O17 - HKLM\System\CCS\Services\Tcpip\..\{574F14FD-4BC9-4F6E-9ECC-8698AF9C2BD7}: NameServer = 194.117.200.10,194.117.200.15
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Voilà
    0
  14. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    Tu es très infecté en fait, alors sois patient.

    On va essayer comme ça :

    Télécharge VundoFix sur ton Bureau.
    http://www.atribune.org/downloads/VundoFix.exe

    . Double-clique VundoFix.exe.
    . Coche la case "Run VundoFix as a "task".
    -> Attends le redémarrage de Vundofix

    . Clique sur le bouton "Scan for Vundo".
    . Puis clique sur le bouton "Remove Vundo".
    . Ensuite sur "yes" pour confirmer
    . Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    . Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"), clique sur "OK"
    . Démarre ton PC à nouveau.
    . Colle le rapport situé dans C:\vundofix.txt ici.

    Courage, Kristopher
    0
  15. exocet_29 Messages postés 20 Statut Membre
     
    Salut Kristopher

    J'ai une chtite question.
    Comment t'arrives à voir avec le log de HT qu'il est trés infecté ?
    Ca m'intéresse car je suis dans le même ca
    0
  16. exocet_29 Messages postés 20 Statut Membre
     
    Oups erreur de clavier...
    Je disais donc : je suis dans le même cas et je suis votre feuilleton avec intérêt; Mais j'ai besoin de savoir comment on détecte qu'on est infecté avec le log HT.

    Merchi

    Kenavo les pltits clous

    Exo
    0
  17. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Mdr... he he je me demande qui est ce(tte) bon ami(e) qui me veut du bien ^^

    En tout cas, je lui souhaite que du bien :)

    Bizz (si c'est une amie)
    0
  18. vrsko Messages postés 94 Statut Membre
     
    Excuse moi Kristopher mais la procédure que tu m'as donné ne marche pas.
    Quand je télécharge le fichier VundoFix.exe et quand je le lance il ne me demande pas du tout de cocher une case "run as a task".
    Il lance simplement l'installation comme si c'était un programe.
    Après j'ai un dossier sur le bureau qui apparait "VundoFix" dans le quel j'ai quatres fichiers :
    - Readme.txt
    - killvundo.bat
    - process.exe
    - vundo.reg

    J'ai essayé de les lancer mais je n'ai pas envie de faire une betise. Je dois lancer quoi? car si j'essaye de les lancer rien ne correspond à ton descritpion.

    Merci @+
    0
  19. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Ok c'est bizarre quand même...

    Télécharge à cette adresse :

    http://www.clubic.com/telecharger-fiche25107-vundofix.html

    Redémarre le PC sans te connecter au net puis :

    . Clique sur le bouton "Scan for Vundo".
    . Puis clique sur le bouton "Remove Vundo".
    . Ensuite sur "yes" pour confirmer
    . Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    . Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"), clique sur "OK"
    . Démarre ton PC à nouveau.
    . Colle le rapport situé dans C:\vundofix.txt ici.
    0
  20. vrsko Messages postés 94 Statut Membre
     
    J'ai fais le scan avec Vundo comme tu me la expliqué. Par contre il n'a rien trouvé "no infected files were found". Je l'ai lancé en mode sans échec au cas où mais j'ai eu le même résultat.

    Voilà le rapport quand même :

    VundoFix V6.1.4

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 15:24:32 11/10/2006

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...

    VundoFix V6.1.4

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 15:29:29 11/10/2006

    Listing files found while scanning....

    No infected files were found.

    Beginning removal...
    0
  21. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    Je n'ai pas beaucoup de temps, mais j'vais quand même essayer de te donner un coup de main...

    Comme sur ta machine aucun logiciel ne parvient à fonctionner correctement vu l'ampleur de l'infection, il ne te reste plus qu'à user de la bonne vieille méthode d'HijackThis - ta dernière chance en fait :)

    1/ Désinstalle si possible BroadJump via le Panneau de configuration, en passant par Ajout/Suppression de programmes.

    2/ Lance HijackThis, puis clique sur “Do a system scan only” et coche ces lignes puis clique sur "Fix checked" :

    O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\fqpmpiur.dll
    O2 - BHO: (no name) - {87E9B09A-ADFC-4B55-8E5E-6BDDF4E78C34} - C:\WINDOWS\system32\jkhhg.dll
    O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

    O4 - Global Startup: dlbcserv.lnk.disabled

    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
    O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
    O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} - https://tiragesphoto.fnac.com/

    3/ Affiche tous les fichiers et dossiers :

    Clique sur "démarrer" -> "Panneau de configuration" -> "Outils" (tout en haut) -> "Options des dossiers..." -> "Affichage".

    Coche :
    "afficher les fichiers et dossiers cachés"
    Décoche les cases :
    "masquer les fichiers protégés du système d'exploitation (recommandé)"
    "masquer les extensions dont le type est connu"

    Clique sur "Appliquer", puis "Ok"

    4/ Rends toi sur http://www.virustotal.com/flash/index_en.html
    Clique sur "Parcourir..." et cherche le fichier en gras :
    C:\WINDOWS\system32\jkhhg.dll
    Attends que le rectangle soit vert (à droite) et clique sur "Send".
    Une fois le scan terminé, copie/colle le rapport sur le forum.

    Fais la même chose avec ce fichier :

    C:\WINDOWS\SYSTEM32\winmyy32.dll

    a+
    0
  • 1
  • 2