Infecté par serwab ou idd29.tmp - Page 2

Résolu
Précédent
  • 1
  • 2
  1. vrsko Messages postés 94 Statut Membre
     
    Alors voilà. J'ai suivi la procédure pour Hijjackthis et ca a marché. Par contre ça m'a désactivé mon adaptateur Wi-fi donc je l'ai réactivé pour pouvoir me connecter.

    Sinon voilà les rapport du site virustotal :

    STATUS: FINISHEDComplete scanning result of "jkhhg.dll", received in VirusTotal at 10.11.2006, 18:50:34 (CET).

    Antivirus Version Update Result
    AntiVir 7.2.0.25 10.11.2006 TR/Vundo.Gen
    Authentium 4.93.8 10.11.2006 no virus found
    Avast 4.7.892.0 10.11.2006 no virus found
    AVG 386 10.11.2006 no virus found
    BitDefender 7.2 10.11.2006 no virus found
    CAT-QuickHeal 8.00 10.11.2006 no virus found
    ClamAV devel-20060426 10.11.2006 no virus found
    DrWeb 4.33 10.11.2006 Trojan.Virtumod
    eTrust-InoculateIT 23.73.19 10.11.2006 no virus found
    eTrust-Vet 30.3.3127 10.11.2006 Win32/Vundo
    Ewido 4.0 10.11.2006 no virus found
    Fortinet 2.82.0.0 10.11.2006 suspicious
    F-Prot 3.16f 10.11.2006 no virus found
    F-Prot4 4.2.1.29 10.11.2006 no virus found
    Ikarus 0.2.65.0 10.11.2006 no virus found
    Kaspersky 4.0.2.24 10.11.2006 no virus found
    McAfee 4871 10.11.2006 no virus found
    Microsoft 1.1603 10.11.2006 no virus found
    NOD32v2 1.1797 10.10.2006 no virus found
    Norman 5.80.02 10.11.2006 W32/Vundo.gen1
    Panda 9.0.0.4 10.11.2006 Suspicious file
    Sophos 4.10.0 10.05.2006 no virus found
    TheHacker 6.0.1.096 10.11.2006 no virus found
    UNA 1.83 10.11.2006 no virus found
    VBA32 3.11.1 10.11.2006 no virus found
    VirusBuster 4.3.7:9 10.11.2006 no virus found

    Aditional Information
    File size: 684084 bytes
    MD5: 095ddbac0ae463514a94fb851fa80898
    SHA1: 1564fcdca7a0e65bca092e9d5d850ace341fea65
    packers: embedded

    vinmyy32.dll

    STATUS: FINISHEDComplete scanning result of "winmyy32.dll", received in VirusTotal at 10.11.2006, 18:57:21 (CET).

    Antivirus Version Update Result
    AntiVir 7.2.0.25 10.11.2006 TR/Klone.H.4
    Authentium 4.93.8 10.11.2006 no virus found
    Avast 4.7.892.0 10.11.2006 no virus found
    AVG 386 10.11.2006 no virus found
    BitDefender 7.2 10.11.2006 Trojan.Klone.H
    CAT-QuickHeal 8.00 10.11.2006 no virus found
    ClamAV devel-20060426 10.11.2006 Trojan.Klone-23
    DrWeb 4.33 10.11.2006 no virus found
    eTrust-InoculateIT 23.73.19 10.11.2006 no virus found
    eTrust-Vet 30.3.3127 10.11.2006 no virus found
    Ewido 4.0 10.11.2006 no virus found
    Fortinet 2.82.0.0 10.11.2006 BDoor.CVT!tr.bdr
    F-Prot 3.16f 10.11.2006 no virus found
    F-Prot4 4.2.1.29 10.11.2006 no virus found
    Ikarus 0.2.65.0 10.11.2006 no virus found
    Kaspersky 4.0.2.24 10.11.2006 Packed.Win32.Klone.g
    McAfee 4871 10.11.2006 BackDoor-CVT
    Microsoft 1.1603 10.11.2006 no virus found
    NOD32v2 1.1797 10.10.2006 no virus found
    Norman 5.90.23 10.11.2006 no virus found
    Panda 9.0.0.4 10.11.2006 Adware/SuperSpider
    Sophos 4.10.0 10.05.2006 no virus found
    TheHacker 6.0.1.096 10.11.2006 Trojan/Klone
    UNA 1.83 10.11.2006 no virus found
    VBA32 3.11.1 10.11.2006 no virus found
    VirusBuster 4.3.7:9 10.11.2006 no virus found

    Aditional Information
    File size: 15872 bytes
    MD5: 9b3ade38178da3ad070ca53131a50635
    SHA1: 63f9343d59b21b7c202bfcfb1810aa7a7363fce7
    packers: PecBundle, PECompact

    Apparament j'ai des virus. Il y une autre choses que je me demandais. J'ai testé les ports de ma connection et j'ai quatres ports qui sont ouvert apparament et ça présente un risque d'après les sites. Or je n'utilise plus le peer to peer et je n'ai aucun port d'ouvert. Tu crois que ça peut avoir une incidence sur ce qui m'arrive.

    Merci encore pour ton aide
    0
  2. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    Dernier tuyau pour aujourd'hui, après y'a le foot ;)

    Bon, j'ai bien deviné que ces deux fichiers étaient vérolés alors :

    Télécharge Pocket Killbox ici :
    http://www.downloads.subratam.org/KillBox.exe
    Déconnecte toi du net.

    Double clic sur killbox.exe (Pocket Killbox)

    - Coche : "Delete on reboot"
    - Dans "Full Path of File to Delete"
    copie et colle ceci :

    C:\WINDOWS\system32\jkhhg.dll

    - clique sur la croix blanche sur le fond rouge.
    - une fenêtre va apparaître pour confirmation : clique sur "YES".
    - une seconde fenêtre te demande si tu veux redémarrer : clique sur "YES".

    Laisse le PC redémarrer.
    Si tu as le message suivant : "pending file rename operations registry data has been removed by external process.", ignore-le et redémarre ton PC manuellement.
    En image : http://tinypic.com/images/goodbye.jpg

    Puis refais la même chose avec ce fichier :

    C:\WINDOWS\SYSTEM32\winmyy32.dll

    Ensuite, exécute HijackThis puis coche et fixe ces lignes :

    O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll
    O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll

    Sauf qu'il y aura sûrement écrit "(file missing)" - c'est normal et attendu.

    Pour ZA attrape ce tuto ici :

    forum.telecharger.01net.com

    bye bye
    0
  3. vrsko Messages postés 94 Statut Membre
     
    J'ai réussis à effacer le fichier winmyy32.dll

    Par contre j'ai des problèmes avec l'autre fichier. Effectivement quand je lui demande de l'effacer il 'affiche la boite comme quoi il va redemarer mon ordi.
    Après il y un décompte et quand ca arrive à zéro j'ai le message dont tu m'a parlé. Je clique sur OK et je rédemarre manuellement (demarer-arreter-redemarer).
    Quand je relance l'ordi et hijjackthis à côté du ficheir jkhhg.dll il n'y pas marqué (file missing). Du coup je ne l'ai pas encore "fixer" avec hijjack.
    J'attend ta réponse avant de le faire. Mais j'ai l'impression que je n'arrive pas à le supprimer. Je ne me suis pas encore conecté sur le net. Je préfere d'attendre (je suis sur un autre pc pour écrire ce message).

    Allez les bleus!!!!
    0
  4. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Essaie à nouveau, ça marche avec tous les fichiers sans exception.

    Ne m'attends pas pour me demander chaque truc, anticipe un peu par toi même.

    Je t'ai tout marqué, alors à toi de jouer ;)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. vrsko Messages postés 94 Statut Membre
     
    Je n'y arrive vraiment pas. J'ai essayé toutes les possibilité mais à chaque fois que je rédemarre, le fichier est toujours là! J'ai même essayé de le supprimer avec l'outil de Hijjack "supprimer le fichier au démarage" mais après le rédemarage du PC le fichier est toujours là.
    Je te remercie quand même pour tout ce que tu as fais pour moi.
    @+
    0
  7. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Bonsoir,

    On va y arriver...

    Télécharge VirtumundoBegone sur ton bureau:
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    - Redémarre le PC en mode sans échec : tu tapotes sur la touche F8 de ton clavier (ou bien F5 selon la version de Windows) et tu choisis le mode "sans échec".

    - Double clique ensuite sur "VirtumundoBeGone.exe" et suis les instructions.
    Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
    Ne t'inquiètes pas si tu vois un message Ecran bleu "Erreur fatale"- c'est normal et attendu.
    0
  8. vrsko Messages postés 94 Statut Membre
     
    Voilà le rapport VBG :

    [10/14/2006, 10:19:55] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Juraj et Marion\Bureau\VirtumundoBeGone.exe" )
    [10/14/2006, 10:20:08] - Detected System Information:
    [10/14/2006, 10:20:08] - Windows Version: 5.1.2600, Service Pack 2
    [10/14/2006, 10:20:08] - Current Username: Juraj et Marion (Admin)
    [10/14/2006, 10:20:08] - Windows is in SAFE mode with Networking.
    [10/14/2006, 10:20:08] - Searching for Browser Helper Objects:
    [10/14/2006, 10:20:08] - BHO 1: {2E03C0FD-4C48-43A7-9A54-00240C70FF16} (ECarteBleueBrowserHelper Class)
    [10/14/2006, 10:20:08] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
    [10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/14/2006, 10:20:08] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [10/14/2006, 10:20:08] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [10/14/2006, 10:20:08] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [10/14/2006, 10:20:08] - BHO 4: {849B9523-785F-4014-9CAF-079FB4A74C61} ()
    [10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/14/2006, 10:20:08] - Checking for HKLM\...\Winlogon\Notify\ihotojry
    [10/14/2006, 10:20:08] - Key not found: HKLM\...\Winlogon\Notify\ihotojry, continuing.
    [10/14/2006, 10:20:08] - BHO 5: {8DCE2626-6C1E-4DE0-BB71-5FBD908924BF} ()
    [10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/14/2006, 10:20:08] - Checking for HKLM\...\Winlogon\Notify\jkhhg
    [10/14/2006, 10:20:08] - Found: HKLM\...\Winlogon\Notify\jkhhg - This is probably Virtumundo.
    [10/14/2006, 10:20:08] - Assigning {8DCE2626-6C1E-4DE0-BB71-5FBD908924BF} MSEvents Object
    [10/14/2006, 10:20:08] - BHO list has been changed! Starting over...
    [10/14/2006, 10:20:08] - BHO 1: {2E03C0FD-4C48-43A7-9A54-00240C70FF16} (ECarteBleueBrowserHelper Class)
    [10/14/2006, 10:20:08] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
    [10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/14/2006, 10:20:08] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [10/14/2006, 10:20:08] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [10/14/2006, 10:20:08] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [10/14/2006, 10:20:08] - BHO 4: {849B9523-785F-4014-9CAF-079FB4A74C61} ()
    [10/14/2006, 10:20:08] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/14/2006, 10:20:08] - Checking for HKLM\...\Winlogon\Notify\ihotojry
    [10/14/2006, 10:20:08] - Key not found: HKLM\...\Winlogon\Notify\ihotojry, continuing.
    [10/14/2006, 10:20:08] - BHO 5: {8DCE2626-6C1E-4DE0-BB71-5FBD908924BF} (MSEvents Object)
    [10/14/2006, 10:20:08] - ALERT: Found MSEvents Object!
    [10/14/2006, 10:20:08] - Finished Searching Browser Helper Objects
    [10/14/2006, 10:20:08] - *** Detected MSEvents Object
    [10/14/2006, 10:20:08] - Trying to remove MSEvents Object...
    [10/14/2006, 10:20:09] - Terminating Process: IEXPLORE.EXE
    [10/14/2006, 10:20:10] - Terminating Process: RUNDLL32.EXE
    [10/14/2006, 10:20:10] - Disabling Automatic Shell Restart
    [10/14/2006, 10:20:10] - Terminating Process: EXPLORER.EXE
    [10/14/2006, 10:20:10] - Suspending the NT Session Manager System Service
    [10/14/2006, 10:20:10] - Terminating Windows NT Logon/Logoff Manager
    [10/14/2006, 10:20:10] - Re-enabling Automatic Shell Restart
    [10/14/2006, 10:20:10] - File to disable: C:\WINDOWS\system32\jkhhg.dll
    [10/14/2006, 10:20:10] - Renaming C:\WINDOWS\system32\jkhhg.dll -> C:\WINDOWS\system32\jkhhg.dll.vir
    [10/14/2006, 10:20:10] - File successfully renamed!
    [10/14/2006, 10:20:10] - Removing HKLM\...\Browser Helper Objects\{8DCE2626-6C1E-4DE0-BB71-5FBD908924BF}
    [10/14/2006, 10:20:10] - Removing HKCR\CLSID\{8DCE2626-6C1E-4DE0-BB71-5FBD908924BF}
    [10/14/2006, 10:20:10] - Adding Kill Bit for ActiveX for GUID: {8DCE2626-6C1E-4DE0-BB71-5FBD908924BF}
    [10/14/2006, 10:20:10] - Deleting ATLEvents/MSEvents Registry entries
    [10/14/2006, 10:20:10] - Removing HKLM\...\Winlogon\Notify\jkhhg
    [10/14/2006, 10:20:10] - Searching for Browser Helper Objects:
    [10/14/2006, 10:20:10] - BHO 1: {2E03C0FD-4C48-43A7-9A54-00240C70FF16} (ECarteBleueBrowserHelper Class)
    [10/14/2006, 10:20:10] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
    [10/14/2006, 10:20:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/14/2006, 10:20:10] - Checking for HKLM\...\Winlogon\Notify\SDHelper
    [10/14/2006, 10:20:10] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
    [10/14/2006, 10:20:10] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [10/14/2006, 10:20:10] - BHO 4: {849B9523-785F-4014-9CAF-079FB4A74C61} ()
    [10/14/2006, 10:20:10] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [10/14/2006, 10:20:10] - Checking for HKLM\...\Winlogon\Notify\ihotojry
    [10/14/2006, 10:20:10] - Key not found: HKLM\...\Winlogon\Notify\ihotojry, continuing.
    [10/14/2006, 10:20:10] - Finished Searching Browser Helper Objects
    [10/14/2006, 10:20:11] - Finishing up...
    [10/14/2006, 10:20:11] - A restart is needed.
    [10/14/2006, 10:20:28] - Attempting to Restart via STOP error (Blue Screen!)

    Et le rapport Hijjack :

    Logfile of HijackThis v1.99.1
    Scan saved at 10:23:34, on 14/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Fichiers communs\{08781636-0828-1036-1107-030406230021}\Update.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\ihotojry.dll
    O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Je n'ai eu aucun message "erreur fatale" l'ordi a redemarré tout seul en mode san échec.
    Effectivement je ne le vois plus le fichier. Par contre j'ai encore eu un message publicitaire en t'écrivant.
    0
  9. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re ;)

    Tu as chopé une infection particulièrement coriace, qui se mute sans arrêt :]

    En gros, ta protection est largement insuffisante (comme tu l'a bien mentionné au premier message).
    -> Je te donnerai quelques conseils à la fin pour pallier le problème.

    Pour le moment :

    Télécharge VundoFix sur ton Bureau.
    www.atribune.org/content/view/24/2/

    . Double-clique VundoFix.exe.

    . Clique sur le bouton "Scan for Vundo".
    . Puis clique sur le bouton "Remove Vundo".
    . Ensuite sur "yes" pour confirmer
    . Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    . Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"), clique sur "OK"
    . Démarre ton PC à nouveau.
    . Colle le rapport situé dans C:\vundofix.txt ici.

    C'est la dernière infection à supprimer normalement, mais également la plus "chiante" comme tu peux le remarquer ;)

    Alors à toi de jouer.
    0
  10. vrsko Messages postés 94 Statut Membre
     
    Il a trouvé et effacé un fichier. Voici le rapport du Vundofix :

    VundoFix V6.2.2

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 19:49:01 15/10/2006

    Listing files found while scanning....

    C:\WINDOWS\system32\elaxqbqv.exe

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\elaxqbqv.exe
    C:\WINDOWS\system32\elaxqbqv.exe Has been deleted!

    Performing Repairs to the registry.
    Done!

    J'ai refait un deuxième scan et il a rien trouvé.

    VundoFix V6.2.2

    Checking Java version...

    Java version is 1.5.0.6

    Scan started at 19:56:01 15/10/2006

    Listing files found while scanning....

    No infected files were found.

    Tu crois que c'est fini? ou je suis encore infecté. Je limite internet pour l'instant.

    Merci beaucoup en tout cas.
    0
  11. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re,

    Dernier message ce soir.

    Refais un scan avec BitDefender puis colle le rapport ainsi que celui d'HijackThis.

    a+
    0
  12. vrsko Messages postés 94 Statut Membre
     
    Voilà le rapport du bitdefender. Il a trouvé un virus mais c'est le fichier qui a été supprimé par Killbox...

    BitDefender Online Scanner

    Rapport d'analyse généré à: Sun, Oct 15, 2006 - 21:32:28

    Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;I:\;

    Statistiques

    Temps
    00:44:35

    Fichiers
    245860

    Directoires
    5697

    Secteurs de boot
    6

    Archives
    3674

    Paquets programmes
    19803

    Résultats

    Virus identifiés
    1

    Fichiers infectés
    1

    Fichiers suspects
    0

    Avertissements
    0

    Désinfectés
    0

    Fichiers effacés
    1

    Info sur les moteurs

    Définition virus
    476375

    Version des moteurs
    AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

    Analyse des plugins
    13

    Archive des plugins
    38

    Unpack des plugins
    6

    E-mail plugins
    6

    Système plugins
    1

    Paramètres d'analyse

    Première action
    Désinfecté

    Seconde Action
    Supprimé

    Heuristique
    Oui

    Acceptez les avertissements
    Oui

    Extensions analysées
    *;

    Excludez les extensions

    Analyse d'emails
    Oui

    Analyse des Archives
    Oui

    Analyser paquets programmes
    Oui

    Analyse des fichiers
    Oui

    Analyse de boot
    Oui

    Fichier analysé
    Statut

    C:\!KillBox\winmyy32.dll
    Infecté par: Trojan.Klone.H

    C:\!KillBox\winmyy32.dll
    Echec de la désinfection

    C:\!KillBox\winmyy32.dll
    Supprimé

    Et voici le dernier log HT :

    Logfile of HijackThis v1.99.1
    Scan saved at 21:41:37, on 15/10/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\ewido anti-spyware 4.0\guard.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - (no file)
    O4 - HKLM\..\Run: [Club-Internet_McciTrayApp] C:\Program Files\Club-Internet\Agent Wi-Fi V2\McciTrayApp.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A31E6733-A4E3-486B-BFDA-A99185795DCA}: NameServer = 80.10.246.2,80.10.246.129
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Juste une question. Est ce que tu penses qu'il serait plus prudent de complétement désinstaller Zone Alarm et Avast et les réinstaller tout de suite après. Je me demande s'ils ont pas été affécté par ce virus ou s'ils fonctionnent toujours normalement?

    Sinon ca fait un moment que je n'ai pas eu de messages publcitaires donc je pense que tu as réussis! Vraiment Chapeaux Maître! ;-)
    0
  13. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Re vrsko,

    Merci pour ces compliments apparemment mérités :)

    Pour le firewall et l'antivirus, n'expérimente surtout pas : laisse-les tels quels.

    1/ Lance HijackThis, puis clique sur “Do a system scan only” et coche ces lignes puis clique sur "Fix checked" :

    O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - (no file)

    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

    2/ Clique sur "démarrer" -> "Exécuter "et tape : services.msc et cherche dans la liste ceci :

    Boonty Games

    Double clic sur ce service, puis clique sur "Arrêter" et mets le sur "Désactivé".

    3/ Cherche et efface ce dossier en gras :

    C:\Program Files\Fichiers communs\BOONTY Shared

    Et ça ne marche pas, regarde mon tutoriel ici :

    virus fichier telecharge qui fait planter le pc

    Bonne continuation :)
    0
  14. vrsko Messages postés 94 Statut Membre
     
    Bon bah voilà j'ai tout fais comme tu m'as dit. Les fichiers BOONTY je les avais installé avec un jeux que j'ai acheté. Je ne savais pas que ça pouvait être consideré comme virus...

    Bref tu as réussi Kristopher et je t'en remercie vraiment beaucoup.
    0
  15. Kristopher Messages postés 3752 Statut Contributeur 106
     
    Et bien sincères félicitations :)

    Si tu voudrais que je te donne de bons conseils pour otpimiser ton PC tu peux me demander :)
    0
Précédent
  • 1
  • 2