Infecté par serwab ou idd29.tmp Résolu

Question

Bonjour tout le monde,

Après cosultation des différents sites je me tourne vers vous car je suis incapable de résoudre mon problème. Je n'ai jamais été affecté par un virus et donc ça devait arriver un jour. Je vous explique ce qui m'arrive.

J'utilise Zone Alarm et Avast pour me protégé des virus (apparament non suffisant). 
Quand je lance internet explorer j'ai des pages qui s'affichent et qui me disent que je suis infecté par Serwab. On me propose d'acheter un soit disant logiciel antivirus. De temps en temps j'ai aussi un message windows intitulé IDD29.tmp avec un texte en espagnole...

J'ai lancé Avast au démarage de Windows mais il n'a rien trouvé. J'ai lancé Spyboot et Ad aware et j'ai effacé tout ce qui était infecté. Mais le problème persiste.

Avez vous s'il vous plaît une idée de quel virus s'agit il? Vous avez besoin le rapport de quel logiciel? Ewido ou autre?

Merci d'avance pour votre aide

Kristopher · Answer

Bonsoir vrsko,

Télécharge Blacklight  (de F-Secure) ici : 
https://www.f-secure.com/en 

Clique en bas sur "I ACCEPT" puis sur "Download Blacklight Beta graphical user interface version".

Sauvegarde le programme sur ton Bureau. 

Double-clique sur "blbeta.exe" et clique sur "I accept the agreement". Puis clique sur "Scan" et attends un peu… Ensuite clique sur "Next". 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les "xxxxxxx" sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

vrsko · Answer

Merci beaucoup pour ta réponse rapide. 
Des précisions sur ce que j'ai fais avant d'effectuer le scan avec le logiciel dont tu me parle. 
J'ai démaré windows en mode sans échec et j'ai lancé progressivement Spyboot, Adaware - Rien 
Puis smidfraufix avec lequel j'ai effacé les problèmes 
Puis ccleaner - effacé les pbs et corrigé les erreurs
Puis j'ai lancé un scan complet avec Ewido qui m'a trouvé 7 fichiers infectés - je les ai effacé.
Enfin j'ai lancé hijjack et j'ai enregistré le rapport (je peux le poster si vous voulez)
A la fin j'ai lancé Fixvundo.exe de chez symantec mais il n'a rien trouvé. 
J'ai également effacé les fichiers présents dans windows	emp

Voilà le résultats mais j'ai l'impression qu'il n'a rien trouvé :
10/08/06 20:07:24 [Info]: BlackLight Engine 1.0.47 initialized
10/08/06 20:07:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/08/06 20:07:24 [Note]: 7019 4
10/08/06 20:07:24 [Note]: 7005 0
10/08/06 20:07:36 [Note]: 7006 0
10/08/06 20:07:36 [Note]: 7011 1132
10/08/06 20:07:36 [Note]: 7026 0
10/08/06 20:07:37 [Note]: 7026 0
10/08/06 20:07:41 [Note]: FSRAW library version 1.7.1020
10/08/06 20:11:50 [Note]: 2000 1012
10/08/06 20:14:22 [Note]: 7007 0

Sinon je te joins quand même le rapport d hijjack

Logfile of HijackThis v1.99.1
Scan saved at 19:55:07, on 08/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\TEMP\win17.tmp.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {28C0D0A2-8FC5-4812-B224-662A98EA36F8} - C:\WINDOWS\system32\jkhhg.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: dlbcserv.lnk.disabled
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} - https://tiragesphoto.fnac.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{574F14FD-4BC9-4F6E-9ECC-8698AF9C2BD7}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Voilà. 
Remarque - depuis mon nétoyage internet semble fonctionner normalement (plus de message sur le serwab), par contre j'ai de temps en temps les messages windows avec d'autres fichiers idxxxxx.tmp et suivant d'un texte en langue étrangère.

Kristopher · Answer

Re,

T'es toujours infecté.

Scanne ton PC avec cet antivirus en ligne (uniquement sous IE) : 
http://www.bitdefender.fr/scan8/ie.html 
Clique sur "J'accepte" puis accepte également l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut). 
Ensuite, clique sur "Cliquez ici pour scanner". 
Patiente jusqu'à la fin du scan... 
Copie/colle le rapport entier sur le forum.

Et t'as aussi chopé pas mal de spywares :

Télécharge, mets à jour et scanne ton PC avec Windows Defender  : 
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/31195.html

Tu peux remettre un nouveau log HT à la fin.

a+

vrsko · Answer

Voilà le rapport de bitdefender. Il a trouvé deux virus dont un qu'il n'arrive pas de supprimer. 


BitDefender Online Scanner
 
Rapport d'analyse généré à: Sun, Oct 08, 2006 - 21:21:40
 
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;
   
Statistiques
 
Temps
 00:45:50
 
Fichiers
 245550
 
Directoires
 5442
 
Secteurs de boot
 6
 
Archives
 3677
 
Paquets programmes
 19863
 
  
  
 
Résultats
 
Virus identifiés
 2
 
Fichiers infectés
 2
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 1
 
  
 
Info sur les moteurs
 
Définition virus
 474418
 
Version des moteurs
 AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)
 
Analyse des plugins
 13
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
   
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\WINDOWS\system32
nnljkl.dll
 Infecté par: DeepScan:Generic.Malware.SYddldg.6AD3E836
 
C:\WINDOWS\system32
nnljkl.dll
 Echec de la désinfection
 
C:\WINDOWS\system32
nnljkl.dll
 Supprimé
 
C:\WINDOWS\system32\winmyy32.dll
 Infecté par: Trojan.Klone.H
 
C:\WINDOWS\system32\winmyy32.dll
 Echec de la désinfection
 
C:\WINDOWS\system32\winmyy32.dll
 Echec de la suppression
 
 
Je vais lancer windows defender.

vrsko · Answer

Ca y est les pages web qui me proposent d'acheter un antivirus sont de retour. Le virus est bien encore là.

J'ai juste une question de coriosité. Je vois sur le forum que je ne suis pas le seul à avoir ce problème. Il s'agit d'un virus connue ou pas? 
en espèrant que vous pouriez m'aider je vous souhaite une bonne nuit.

exocet_29 · Answer

Salut
Je suis "rassuré" en qq sorte. J'ai moi aussi un message en italien d'un fichier idd156.tmp.
Je vais essayer les soluces du dessus et je vous tiens auu courant.
Tchao.

Exo

Kristopher · Answer

Re,

Alors as-tu scanné complètement le PC et supprimé toutes les infections trouvées par Windows Defender ?

Redonne un nouveau log HT comme je te l'avais dit.

a+

vrsko · Answer

Excuse moi mais je n'ai pas compris ce que veut gire "log HT"? Windows defender n'a rien trouvé sinon.

Kristopher · Answer

Re,

C'est important : après avoir fait toutes les mises à jour du logiciel, tu as fais un "Full System scan" ?

Si non, un HT c'est tout simplement un nouveau log HijackThis pour faire le point et fixer les lignes néfastes qui persistent ;)

a+

vrsko · Answer

Ok lol pour le log HT. 

Voilà le nouveaux log après windows defender avec le full scan. 

Logfile of HijackThis v1.99.1
Scan saved at 22:32:01, on 09/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\{08781636-0828-1036-1107-030406230021}\Update.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7AF19C8E-BDE9-4B40-858E-6F0A73DDB608} - C:\WINDOWS\system32\jkhhg.dll
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\fqpmpiur.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: dlbcserv.lnk.disabled
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} - www.fnacphoto.com/ectelechargement/xupload/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{574F14FD-4BC9-4F6E-9ECC-8698AF9C2BD7}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Sinon je ne sais pas si tu as vu mais le scan de bitdefender m'a trouvé deux virus. Il a réussit à en supprimer un mais l'autre (C:\WINDOWS\system32\winmyy32.dll 
Echec de la suppression )
est toujours présent. Dois je le supprimer (si oui comment)?
Merci pour ton aide.

Kristopher · Answer

Re,

Télécharge Look2Me-Destroyer.exe sur ton Bureau. 

http://www.atribune.org/ccount/click.php?id=7 

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante. 
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil. 
* Coche "Run this program as a task" 
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique [OK] 
* Il se relancera après les 10 secondes, puis clique sur le bouton "Scan for L2M"; les icônes de ton Bureau vont disparaître : c'est normal ! 
* Lorsque le scan termine, clique sur le bouton "Remove L2M" 
* Un message "Done Scanning" apparaîtra, clique [OK]. 
* Un nouveau message s'affichera : "Done removing infected files! Look2Me-Destroyer will now shutdown your computer"; clique [OK]. 
* Ton PC va maintenant s'éteindre. 
* Démarre ton PC normalement. 
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. 

#Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau. 

##Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte ! 

###Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-dessous, et place-le dans le dossier C:\Windows\System32 
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

a+

vrsko · Answer

j'ai suivi tes instructions. J'ai lancer look2me destroyer. Après le scan j'ai lancé "remove l2m" et j'ai eu un petit message "Copy File" dans lequel était écrit "Error 75 Path/File access error". Quand j'ai cliqué sur ok la procédure a continué comme tu l'as indiqué. 

Voici le rapport :

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 09/10/2006 22:49:01


Attempting to delete infected files...

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded



Et voici le log HT :

Logfile of HijackThis v1.99.1
Scan saved at 23:00:00, on 09/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\{08781636-0828-1036-1107-030406230021}\Update.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\fqpmpiur.dll
O2 - BHO: (no name) - {87E9B09A-ADFC-4B55-8E5E-6BDDF4E78C34} - C:\WINDOWS\system32\jkhhg.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: dlbcserv.lnk.disabled
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} - https://tiragesphoto.fnac.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{574F14FD-4BC9-4F6E-9ECC-8698AF9C2BD7}: NameServer = 194.117.200.10,194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Voilà

Kristopher · Answer

Re,

Tu es très infecté en fait, alors sois patient.

On va essayer comme ça :

Télécharge VundoFix sur ton Bureau. 
http://www.atribune.org/downloads/VundoFix.exe

. Double-clique VundoFix.exe. 
. Coche la case "Run VundoFix as a "task". 
-> Attends le redémarrage de Vundofix 

. Clique sur le bouton "Scan for Vundo". 
. Puis clique sur le bouton "Remove Vundo". 
. Ensuite sur "yes" pour confirmer
. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"), clique sur "OK"
. Démarre ton PC à nouveau. 
. Colle le rapport situé dans C:\vundofix.txt ici. 

Courage, Kristopher

exocet_29 · Answer

Salut Kristopher

J'ai une chtite question.
Comment t'arrives à voir avec le log de HT qu'il est trés infecté ?
Ca m'intéresse car je suis dans le même ca

exocet_29 · Answer

Oups erreur de clavier...
Je disais donc : je suis dans le même cas et je suis votre feuilleton avec intérêt; Mais j'ai besoin de savoir comment on détecte qu'on est infecté avec le log HT.

Merchi

Kenavo les pltits clous

Exo

Kristopher · Answer

Mdr... he he je me demande qui est ce(tte) bon ami(e) qui me veut du bien ^^

En tout cas, je lui souhaite que du bien :)

Bizz (si c'est une amie)

vrsko · Answer

Excuse moi Kristopher mais la procédure que tu m'as donné ne marche pas.
Quand je télécharge le fichier VundoFix.exe et quand je le lance il ne me demande pas du tout de cocher une case "run as a task".
Il lance simplement l'installation comme si c'était un programe.
Après j'ai un dossier sur le bureau qui apparait "VundoFix" dans le quel j'ai quatres fichiers :
- Readme.txt
- killvundo.bat
- process.exe
- vundo.reg

J'ai essayé de les lancer mais je n'ai pas envie de faire une betise. Je dois lancer quoi? car si j'essaye de les lancer rien ne correspond à ton descritpion.

Merci @+

Kristopher · Answer

Ok c'est bizarre quand même...

Télécharge à cette adresse :

http://www.clubic.com/telecharger-fiche25107-vundofix.html

Redémarre le PC sans te connecter au net puis :

. Clique sur le bouton "Scan for Vundo".
. Puis clique sur le bouton "Remove Vundo".
. Ensuite sur "yes" pour confirmer
. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"), clique sur "OK"
. Démarre ton PC à nouveau.
. Colle le rapport situé dans C:\vundofix.txt ici.

vrsko · Answer

J'ai fais le scan avec Vundo comme tu me la expliqué. Par contre il n'a rien trouvé "no infected files were found". Je l'ai lancé en mode sans échec au cas où mais j'ai eu le même résultat. 

Voilà le rapport quand même :

VundoFix V6.1.4

Checking Java version...

Java version is 1.5.0.6

Scan started at 15:24:32 11/10/2006

Listing files found while scanning....

No infected files were found.


Beginning removal...

VundoFix V6.1.4

Checking Java version...

Java version is 1.5.0.6

Scan started at 15:29:29 11/10/2006

Listing files found while scanning....

No infected files were found.


Beginning removal...

Kristopher · Answer

Re,

Je n'ai pas beaucoup de temps, mais j'vais quand même essayer de te donner un coup de main...

Comme sur ta machine aucun logiciel ne parvient à fonctionner correctement vu l'ampleur de l'infection, il ne te reste plus qu'à user de la bonne vieille méthode d'HijackThis - ta dernière chance en fait :)

1/ Désinstalle si possible BroadJump via le Panneau de configuration, en passant par Ajout/Suppression de programmes. 

2/ Lance HijackThis, puis clique sur “Do a system scan only” et coche ces lignes puis clique sur "Fix checked" : 

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\fqpmpiur.dll
O2 - BHO: (no name) - {87E9B09A-ADFC-4B55-8E5E-6BDDF4E78C34} - C:\WINDOWS\system32\jkhhg.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O4 - Global Startup: dlbcserv.lnk.disabled

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - https://onedrive.live.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} - https://www.fnacmusic.com/telechargementFnacmusic/FnacComposant.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} - https://tiragesphoto.fnac.com/ 

3/ Affiche tous les fichiers et dossiers : 

Clique sur "démarrer" -> "Panneau de configuration" -> "Outils" (tout en haut) -> "Options des dossiers..." -> "Affichage".

Coche :  
"afficher les fichiers et dossiers cachés" 
Décoche les cases : 
"masquer les fichiers protégés du système d'exploitation (recommandé)" 
"masquer les extensions dont le type est connu" 

Clique sur "Appliquer", puis "Ok"

4/ Rends toi sur http://www.virustotal.com/flash/index_en.html 
Clique sur "Parcourir..." et cherche le fichier en gras :
C:\WINDOWS\system32\jkhhg.dll
Attends que le rectangle soit vert (à droite) et clique sur "Send".
Une fois le scan terminé, copie/colle le rapport sur le forum.

Fais la même chose avec ce fichier :

C:\WINDOWS\SYSTEM32\winmyy32.dll

a+

vrsko · Answer

Alors voilà. J'ai suivi la procédure pour Hijjackthis et ca a marché. Par contre ça m'a désactivé mon adaptateur Wi-fi donc je l'ai réactivé pour pouvoir  me connecter.

Sinon voilà les rapport du site virustotal :

STATUS: FINISHEDComplete scanning result of "jkhhg.dll", received in VirusTotal at 10.11.2006, 18:50:34 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.25 10.11.2006 TR/Vundo.Gen 
Authentium 4.93.8 10.11.2006  no virus found 
Avast 4.7.892.0 10.11.2006  no virus found 
AVG 386 10.11.2006  no virus found 
BitDefender 7.2 10.11.2006  no virus found 
CAT-QuickHeal 8.00 10.11.2006  no virus found 
ClamAV devel-20060426 10.11.2006  no virus found 
DrWeb 4.33 10.11.2006 Trojan.Virtumod 
eTrust-InoculateIT 23.73.19 10.11.2006  no virus found 
eTrust-Vet 30.3.3127 10.11.2006 Win32/Vundo 
Ewido 4.0 10.11.2006  no virus found 
Fortinet 2.82.0.0 10.11.2006 suspicious 
F-Prot 3.16f 10.11.2006  no virus found 
F-Prot4 4.2.1.29 10.11.2006  no virus found 
Ikarus 0.2.65.0 10.11.2006  no virus found 
Kaspersky 4.0.2.24 10.11.2006  no virus found 
McAfee 4871 10.11.2006  no virus found 
Microsoft 1.1603  10.11.2006  no virus found 
NOD32v2 1.1797 10.10.2006  no virus found 
Norman 5.80.02 10.11.2006 W32/Vundo.gen1 
Panda 9.0.0.4 10.11.2006 Suspicious file 
Sophos 4.10.0 10.05.2006  no virus found 
TheHacker 6.0.1.096 10.11.2006  no virus found 
UNA 1.83 10.11.2006  no virus found 
VBA32 3.11.1 10.11.2006  no virus found 
VirusBuster 4.3.7:9 10.11.2006 no virus found 


Aditional Information 
File size: 684084 bytes 
MD5: 095ddbac0ae463514a94fb851fa80898 
SHA1: 1564fcdca7a0e65bca092e9d5d850ace341fea65 
packers: embedded 


vinmyy32.dll


STATUS: FINISHEDComplete scanning result of "winmyy32.dll", received in VirusTotal at 10.11.2006, 18:57:21 (CET).

Antivirus Version Update Result 
AntiVir 7.2.0.25 10.11.2006 TR/Klone.H.4 
Authentium 4.93.8 10.11.2006  no virus found 
Avast 4.7.892.0 10.11.2006  no virus found 
AVG 386 10.11.2006  no virus found 
BitDefender 7.2 10.11.2006 Trojan.Klone.H 
CAT-QuickHeal 8.00 10.11.2006  no virus found 
ClamAV devel-20060426 10.11.2006 Trojan.Klone-23 
DrWeb 4.33 10.11.2006  no virus found 
eTrust-InoculateIT 23.73.19 10.11.2006  no virus found 
eTrust-Vet 30.3.3127 10.11.2006  no virus found 
Ewido 4.0 10.11.2006  no virus found 
Fortinet 2.82.0.0 10.11.2006 BDoor.CVT!tr.bdr 
F-Prot 3.16f 10.11.2006  no virus found 
F-Prot4 4.2.1.29 10.11.2006  no virus found 
Ikarus 0.2.65.0 10.11.2006  no virus found 
Kaspersky 4.0.2.24 10.11.2006 Packed.Win32.Klone.g 
McAfee 4871 10.11.2006 BackDoor-CVT 
Microsoft 1.1603 10.11.2006  no virus found 
NOD32v2 1.1797 10.10.2006  no virus found 
Norman 5.90.23 10.11.2006  no virus found 
Panda 9.0.0.4 10.11.2006 Adware/SuperSpider 
Sophos 4.10.0 10.05.2006  no virus found 
TheHacker 6.0.1.096 10.11.2006 Trojan/Klone 
UNA 1.83 10.11.2006  no virus found 
VBA32 3.11.1 10.11.2006  no virus found 
VirusBuster 4.3.7:9 10.11.2006 no virus found 


Aditional Information 
File size: 15872 bytes 
MD5: 9b3ade38178da3ad070ca53131a50635 
SHA1: 63f9343d59b21b7c202bfcfb1810aa7a7363fce7 
packers: PecBundle, PECompact 



Apparament j'ai des virus. Il y une autre choses que je me demandais. J'ai testé les ports de ma connection et j'ai quatres ports  qui sont ouvert apparament et ça présente un risque d'après les sites.  Or je n'utilise plus le peer to peer et je n'ai aucun port d'ouvert. Tu crois que ça peut avoir une incidence sur ce qui m'arrive. 

Merci encore pour ton aide

Kristopher · Answer

Re,

Dernier tuyau pour aujourd'hui, après y'a le foot ;)

Bon, j'ai bien deviné que ces deux fichiers étaient vérolés alors :

Télécharge Pocket Killbox ici : 
http://www.downloads.subratam.org/KillBox.exe 
Déconnecte toi du net. 

Double clic sur killbox.exe (Pocket Killbox)

- Coche : "Delete on reboot"
- Dans "Full Path of File to Delete"
copie et colle ceci :

C:\WINDOWS\system32\jkhhg.dll

- clique sur la croix blanche sur le fond rouge.
- une fenêtre va apparaître pour confirmation : clique sur "YES".
- une seconde fenêtre te demande si tu veux redémarrer : clique sur "YES".

Laisse le PC redémarrer.
Si tu as le message suivant : "pending file rename operations registry data has been removed by external process.", ignore-le et redémarre ton PC manuellement.
En image :  http://tinypic.com/images/goodbye.jpg

Puis refais la même chose avec ce fichier :

C:\WINDOWS\SYSTEM32\winmyy32.dll

Ensuite, exécute HijackThis puis coche et fixe ces lignes :

O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll

Sauf qu'il y aura sûrement écrit "(file missing)" - c'est normal et attendu.

Pour ZA attrape ce tuto ici :

forum.telecharger.01net.com

bye bye

vrsko · Answer

J'ai réussis à effacer le fichier winmyy32.dll

Par contre j'ai des problèmes avec l'autre fichier. Effectivement quand je lui demande de l'effacer il 'affiche la boite comme quoi il va redemarer mon ordi.
Après il y un décompte et quand ca arrive à zéro j'ai le message dont tu m'a parlé. Je clique sur OK et je rédemarre manuellement (demarer-arreter-redemarer).
Quand je relance l'ordi et hijjackthis à côté du ficheir jkhhg.dll il n'y pas marqué (file missing). Du coup je ne l'ai pas encore "fixer" avec hijjack. 
J'attend ta réponse avant de le faire. Mais j'ai l'impression que je n'arrive pas à le supprimer. Je ne me suis pas encore conecté sur le net. Je préfere d'attendre (je suis sur un autre pc pour écrire ce message).

Allez les bleus!!!!

Kristopher · Answer

Essaie à nouveau, ça marche avec tous les fichiers sans exception.

Ne m'attends pas pour me demander chaque truc, anticipe un peu par toi même.

Je t'ai tout marqué, alors à toi de jouer ;)

vrsko · Answer

Je n'y arrive vraiment pas. J'ai essayé toutes les possibilité mais à chaque fois que je rédemarre, le fichier est toujours là! J'ai même essayé de le supprimer avec l'outil de Hijjack "supprimer le fichier au démarage" mais après le rédemarage du PC le fichier est toujours là. 
Je te remercie quand même pour tout ce que tu as fais pour moi. 
 @+

Kristopher · Answer

Bonsoir,

On va y arriver...

Télécharge VirtumundoBegone sur ton bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

- Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".

- Double clique ensuite sur "VirtumundoBeGone.exe" et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis. 
Ne t'inquiètes pas si tu vois un message Ecran bleu "Erreur fatale"- c'est normal et attendu.

vrsko · Answer

Voilà le rapport VBG :


[10/14/2006, 10:19:55] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Juraj et Marion\Bureau\VirtumundoBeGone.exe" )
[10/14/2006, 10:20:08] - Detected System Information:
[10/14/2006, 10:20:08] -  Windows Version: 5.1.2600, Service Pack 2
[10/14/2006, 10:20:08] -  Current Username: Juraj et Marion (Admin)
[10/14/2006, 10:20:08] -  Windows is in SAFE mode with Networking.
[10/14/2006, 10:20:08] - Searching for Browser Helper Objects:
[10/14/2006, 10:20:08] -  BHO 1: {2E03C0FD-4C48-43A7-9A54-00240C70FF16} (ECarteBleueBrowserHelper Class)
[10/14/2006, 10:20:08] -  BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2006, 10:20:08] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[10/14/2006, 10:20:08] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[10/14/2006, 10:20:08] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/14/2006, 10:20:08] -  BHO 4: {849B9523-785F-4014-9CAF-079FB4A74C61} ()
[10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2006, 10:20:08] -  Checking for HKLM\...\Winlogon\Notify\ihotojry
[10/14/2006, 10:20:08] -  Key not found: HKLM\...\Winlogon\Notify\ihotojry, continuing.
[10/14/2006, 10:20:08] -  BHO 5: {8DCE2626-6C1E-4DE0-BB71-5FBD908924BF} ()
[10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2006, 10:20:08] -  Checking for HKLM\...\Winlogon\Notify\jkhhg
[10/14/2006, 10:20:08] -  Found: HKLM\...\Winlogon\Notify\jkhhg - This is probably Virtumundo.
[10/14/2006, 10:20:08] -  Assigning {8DCE2626-6C1E-4DE0-BB71-5FBD908924BF} MSEvents Object
[10/14/2006, 10:20:08] - BHO list has been changed! Starting over...
[10/14/2006, 10:20:08] -  BHO 1: {2E03C0FD-4C48-43A7-9A54-00240C70FF16} (ECarteBleueBrowserHelper Class)
[10/14/2006, 10:20:08] -  BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2006, 10:20:08] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[10/14/2006, 10:20:08] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[10/14/2006, 10:20:08] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/14/2006, 10:20:08] -  BHO 4: {849B9523-785F-4014-9CAF-079FB4A74C61} ()
[10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2006, 10:20:08] -  Checking for HKLM\...\Winlogon\Notify\ihotojry
[10/14/2006, 10:20:08] -  Key not found: HKLM\...\Winlogon\Notify\ihotojry, continuing.
[10/14/2006, 10:20:08] -  BHO 5: {8DCE2626-6C1E-4DE0-BB71-5FBD908924BF} (MSEvents Object)
[10/14/2006, 10:20:08] - ALERT: Found MSEvents Object!
[10/14/2006, 10:20:08] - Finished Searching Browser Helper Objects
[10/14/2006, 10:20:08] - *** Detected MSEvents Object
[10/14/2006, 10:20:08] - Trying to remove MSEvents Object...
[10/14/2006, 10:20:09] -    Terminating Process: IEXPLORE.EXE
[10/14/2006, 10:20:10] -    Terminating Process: RUNDLL32.EXE
[10/14/2006, 10:20:10] -    Disabling Automatic Shell Restart
[10/14/2006, 10:20:10] -    Terminating Process: EXPLORER.EXE
[10/14/2006, 10:20:10] -    Suspending the NT Session Manager System Service
[10/14/2006, 10:20:10] -    Terminating Windows NT Logon/Logoff Manager
[10/14/2006, 10:20:10] -    Re-enabling Automatic Shell Restart
[10/14/2006, 10:20:10] -   File to disable: C:\WINDOWS\system32\jkhhg.dll
[10/14/2006, 10:20:10] -  Renaming C:\WINDOWS\system32\jkhhg.dll -> C:\WINDOWS\system32\jkhhg.dll.vir
[10/14/2006, 10:20:10] -  File successfully renamed!
[10/14/2006, 10:20:10] -   Removing HKLM\...\Browser Helper Objects\{8DCE2626-6C1E-4DE0-BB71-5FBD908924BF}
[10/14/2006, 10:20:10] -   Removing HKCR\CLSID\{8DCE2626-6C1E-4DE0-BB71-5FBD908924BF}
[10/14/2006, 10:20:10] -   Adding Kill Bit for ActiveX for GUID: {8DCE2626-6C1E-4DE0-BB71-5FBD908924BF}
[10/14/2006, 10:20:10] -   Deleting ATLEvents/MSEvents Registry entries
[10/14/2006, 10:20:10] -   Removing HKLM\...\Winlogon\Notify\jkhhg
[10/14/2006, 10:20:10] - Searching for Browser Helper Objects:
[10/14/2006, 10:20:10] -  BHO 1: {2E03C0FD-4C48-43A7-9A54-00240C70FF16} (ECarteBleueBrowserHelper Class)
[10/14/2006, 10:20:10] -  BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[10/14/2006, 10:20:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2006, 10:20:10] -  Checking for HKLM\...\Winlogon\Notify\SDHelper
[10/14/2006, 10:20:10] -  Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[10/14/2006, 10:20:10] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[10/14/2006, 10:20:10] -  BHO 4: {849B9523-785F-4014-9CAF-079FB4A74C61} ()
[10/14/2006, 10:20:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
[10/14/2006, 10:20:10] -  Checking for HKLM\...\Winlogon\Notify\ihotojry
[10/14/2006, 10:20:10] -  Key not found: HKLM\...\Winlogon\Notify\ihotojry, continuing.
[10/14/2006, 10:20:10] - Finished Searching Browser Helper Objects
[10/14/2006, 10:20:11] - Finishing up...
[10/14/2006, 10:20:11] - A restart is needed.
[10/14/2006, 10:20:28] - Attempting to Restart via STOP error (Blue Screen!)


Et le rapport Hijjack :

Logfile of HijackThis v1.99.1
Scan saved at 10:23:34, on 14/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\{08781636-0828-1036-1107-030406230021}\Update.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\ihotojry.dll
O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Je n'ai eu aucun message "erreur fatale" l'ordi a redemarré tout seul en mode san échec.
Effectivement je ne le vois plus le fichier. Par contre j'ai encore eu un message publicitaire en t'écrivant.

Kristopher · Answer

Re ;)

Tu as chopé une infection particulièrement coriace, qui se mute sans arrêt :]

En gros, ta protection est largement insuffisante (comme tu l'a bien mentionné au premier message). 
-> Je te donnerai quelques conseils à la fin pour pallier le problème.

Pour le moment :

Télécharge VundoFix sur ton Bureau. 
www.atribune.org/content/view/24/2/ 

. Double-clique VundoFix.exe. 

. Clique sur le bouton "Scan for Vundo". 
. Puis clique sur le bouton "Remove Vundo". 
. Ensuite sur "yes" pour confirmer
. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"), clique sur "OK"
. Démarre ton PC à nouveau. 
. Colle le rapport situé dans C:\vundofix.txt ici. 

C'est la dernière infection à supprimer normalement, mais également la plus "chiante" comme tu peux le remarquer ;)

Alors à toi de jouer.

vrsko · Answer

Il a trouvé et effacé un fichier. Voici le rapport du Vundofix :



VundoFix V6.2.2

Checking Java version...

Java version is 1.5.0.6

Scan started at 19:49:01 15/10/2006

Listing files found while scanning....

C:\WINDOWS\system32\elaxqbqv.exe

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\elaxqbqv.exe
C:\WINDOWS\system32\elaxqbqv.exe Has been deleted!

Performing Repairs to the registry.
Done!


J'ai refait un deuxième scan et il a rien trouvé. 


VundoFix V6.2.2

Checking Java version...

Java version is 1.5.0.6

Scan started at 19:56:01 15/10/2006

Listing files found while scanning....

No infected files were found.


Tu crois que c'est fini? ou je suis encore infecté. Je limite internet pour l'instant. 

Merci beaucoup en tout cas.

Kristopher · Answer

Re,

Dernier message ce soir.

Refais un scan avec BitDefender puis colle le rapport ainsi que celui d'HijackThis.

a+

vrsko · Answer

Voilà le rapport du bitdefender. Il a trouvé un virus mais c'est le fichier qui a été supprimé par Killbox... 

BitDefender Online Scanner
 
Rapport d'analyse généré à: Sun, Oct 15, 2006 - 21:32:28
 
 Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;
   
Statistiques
 
Temps
 00:44:35
 
Fichiers
 245860
 
Directoires
 5697
 
Secteurs de boot
 6
 
Archives
 3674
 
Paquets programmes
 19803
   
 
Résultats
 
Virus identifiés
 1
 
Fichiers infectés
 1
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 1
 
   
Info sur les moteurs
 
Définition virus
 476375
 
Version des moteurs
 AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)
 
Analyse des plugins
 13
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
 
  Fichier analysé
  Statut
 
C:\!KillBox\winmyy32.dll
 Infecté par: Trojan.Klone.H
 
C:\!KillBox\winmyy32.dll
 Echec de la désinfection
 
C:\!KillBox\winmyy32.dll
 Supprimé
 
  
 Et voici le dernier log HT :

Logfile of HijackThis v1.99.1
Scan saved at 21:41:37, on 15/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - (no file)
O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Juste une question. Est ce que tu penses qu'il serait plus prudent de complétement désinstaller Zone Alarm et Avast et les réinstaller tout de suite après. Je me demande s'ils ont pas été affécté par ce virus ou s'ils fonctionnent toujours normalement?

Sinon ca fait un moment que je n'ai pas eu de messages publcitaires donc je pense que tu as réussis! Vraiment Chapeaux Maître! ;-)

Kristopher · Answer

Re vrsko,

Merci pour ces compliments apparemment mérités :)

Pour le firewall et l'antivirus, n'expérimente surtout pas : laisse-les tels quels.

1/ Lance HijackThis, puis clique sur “Do a system scan only” et coche ces lignes puis clique sur "Fix checked" : 

O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - (no file)

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

2/ Clique sur "démarrer" -> "Exécuter "et tape : services.msc et cherche dans la liste ceci :

Boonty Games

Double clic sur ce service, puis clique sur "Arrêter" et mets le sur "Désactivé".

3/ Cherche et efface ce dossier en gras :

C:\Program Files\Fichiers communs\BOONTY Shared

Et ça ne marche pas, regarde mon tutoriel ici :

virus fichier telecharge qui fait planter le pc

Bonne continuation :)

vrsko · Answer

Bon bah voilà j'ai tout fais comme tu m'as dit. Les fichiers BOONTY je les avais installé avec un jeux que j'ai acheté. Je ne savais pas que ça pouvait être consideré comme virus...

Bref tu as réussi Kristopher et je t'en remercie vraiment beaucoup.

Kristopher · Answer

Et bien sincères félicitations :)

Si tu voudrais que je te donne de bons conseils pour otpimiser ton PC tu peux me demander :)

Infecté par serwab ou idd29.tmp

34 réponses

Votre réponse

Discussions similaires

Newsletters