infecté par project 1 Résolu

Question

Bonjour à tous,
J'ai cherché sur le forum une reponse pour éradiquer ce virus mais sans succés avec ma configuration.
Alors voila en chargeant sur des peer to peer des MP3 sur Jamendo, je pense avoir été infecté par un virus. Apres avoir utilisé AVG free edition, Ewido et Crap clener, il est toujours la à faire des petits.....
Au secours !


Voici le scan Ewido---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

 + Created at:	11:09:31 14/10/2006

 + Scan result:	



HKLM\SOFTWARE\DeluxeCommunications -> Adware.DeluxeCommunications : Cleaned.
HKLM\SOFTWARE\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : Cleaned.
HKU\S-1-5-21-220523388-706699826-1343024091-1000\Software\DeluxeCommunications -> Adware.DeluxeCommunications : Cleaned.
HKU\S-1-5-21-220523388-706699826-1343024091-1000\Software\DeluxeCommunications\Internet Explorer -> Adware.DeluxeCommunications : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GXEN4LQ3\Installer[1].exe -> Adware.Look2Me : Cleaned.
C:\Installer4.exe -> Adware.Look2Me : Cleaned.
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator -> Adware.Ucmore : Cleaned.
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\How To Uninstall.lnk -> Adware.Ucmore : Cleaned.
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore - The Search Accelerator.lnk -> Adware.Ucmore : Cleaned.
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\UCmore - The Search Accelerator\UCmore Tour.lnk -> Adware.Ucmore : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GXEN4LQ3\wack[1].exe/rmsyrup.exe -> Adware.Virtumonde : Cleaned.
C:\WINNT\system32\wvurssr.dll -> Adware.Virtumonde : Cleaned.
C:\WINNT\system32\xxyvvst.dll -> Adware.Virtumonde : Cleaned.
C:\wacky32.exe/rmsyrup.exe -> Adware.Virtumonde : Cleaned.
C:\WINNT\__delete_on_reboot__e_i_R_e_c_v_r_._e_x_e_ -> Backdoor.SdBot.awc : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GXEN4LQ3\wack[1].exe/drpep.exe -> Downloader.Adload.fu : Cleaned.
C:\WINNT\system32\config\drpep.exe -> Downloader.Adload.fu : Cleaned.
C:\wacky32.exe/drpep.exe -> Downloader.Adload.fu : Cleaned.


::Report end

Kristopher · Answer

Salut,

Commence par désinstaller tous les logiciels P2P pour être tranquille.

Ensuite,

1/ Scanne ton PC avec cet antivirus en ligne (uniquement sous IE) : 
http://www.bitdefender.fr/scan8/ie.html 
Clique sur "J'accepte" puis accepte également l'ActiveX bloqué par la barre anti-popup du SP2 (elle clignotera en haut). 
Ensuite, clique sur "Cliquez ici pour scanner". 
Patiente jusqu'à la fin du scan... 
Copie/colle le rapport entier sur le forum.

2/ - Télécharge HijackThis  ici : 
http://telechargement.zebulon.fr/160-patch-francais-pour-hijackthis-1991.html 
En cliquant sur "Télécharger HijackThis 1.99.1 version française" puis sur "J'accepte". 
- Installe le logiciel dans un dossier prévu à cet effet. 
Par exemple, C:\HijackThis 
- Choisis l'option "faire un scan et sauvegarder le log"; un rapport va être généré… 
Copie/colle le rapport entier sur le forum. 

Regarde la démo d’utilisation section "Générer un rapport" : http://pageperso.aol.fr/balltrap34/demohijack.htm

a+

vincentq · Answer

Bonjour, Merci de ton aide.
Je te précise que je suis sous Windows 2000 professional SP4
Voila le rapport du scan
BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Sun, Oct 15, 2006 - 15:56:17

 
	

 
	

 

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:24:04

Fichiers
	

128217

Directoires
	

2471

Secteurs de boot
	

4

Archives
	

2821

Paquets programmes
	

9139
	

 
	

 

Résultats

Virus identifiés
	

1

Fichiers infectés
	

1

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

0
	

 
	

 

Info sur les moteurs

Définition virus
	

476371

Version des moteurs
	

AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Analyse des plugins
	

13

Archive des plugins
	

38

Unpack des plugins
	

6

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\WINNT\system32\wvurssr.dll
	

Infecté par: MemScan:Trojan.Virtumod.BL

C:\WINNT\system32\wvurssr.dll
	

Echec de la désinfection

C:\WINNT\system32\wvurssr.dll
	

Echec de la suppression
	
Voici le rapport de Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 16:07:23, on 15/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnpstd.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Evermore\EyeKIDZ\fr\ekfilter.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32undll32.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\explorer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\querre\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINNT\system32\eydiounk.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6A918EDD-4847-4250-AE87-28C8C2F4DF78} - C:\WINNT\system32\pmkji.dll
O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINNT\system32\wvurssr.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SW20] C:\WINNT\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINNT\System32\sw24.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [eklnchr] C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOneegister.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O20 - Winlogon Notify: App Paths - C:\WINNT\system32\lv8409lqe.dll (file missing)
O20 - Winlogon Notify: pmkji - C:\WINNT\system32\pmkji.dll
O20 - Winlogon Notify: Reliability - C:\WINNT\system32\fplm0331e.dll (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\q2pslc771f.dll (file missing)
O20 - Winlogon Notify: wvurssr - C:\WINNT\SYSTEM32\wvurssr.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Windows Windows Sheduler (Microsoft Windows Scheduled Tasker) - Unknown owner - C:\WINNT\eiRecvr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32
vsvc32.exe
A plus

Kristopher · Answer

Salut,

Tu es infecté à mort...

Fais exactement ce qui suit :

1/ Télécharge, mets à jour et scanne ton PC avec Ad-Aware et SpyBot Search & Destroy :

Ad-Aware :      
 www.01net.com  

Correctif permettant d'utiliser le logiciel en français :
www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/25543.html 

SpyBot Search & Destroy : 
 www.01net.com

2/ Télécharge VundoFix sur ton Bureau. 

www.atribune.org/content/view/24/2/ 

. Double-clique VundoFix.exe. 

. Clique sur le bouton "Scan for Vundo". 
. Puis clique sur le bouton "Remove Vundo". 
. Ensuite sur "yes" pour confirmer
. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
. Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"), clique sur "OK"
. Démarre ton PC à nouveau. 
. Colle le rapport situé dans C:\vundofix.txt ici. 

Courage, Kristopher

vincentq · Answer

J'ai passe ad aware et ai supprime tout ce qu'il a trouve idem avec spyboot.
Voila le rapport de vundo.

VundoFix V6.2.2

Checking Java version...

Java version is 1.5.0.6

Scan started at 17:59:50 15/10/2006

Listing files found while scanning....

C:\WINNT\system32\wvurssr.dll
C:\WINNT\system32\cvebemxd.exe
C:\WINNT\system32\pmkji.dll
C:\WINNT\system32\ijkmp.ini
C:\WINNT\system32\ijkmp.bak2

Beginning removal...

 Attempting to delete C:\WINNT\system32\wvurssr.dll
C:\WINNT\system32\wvurssr.dll Has been deleted!

 Attempting to delete C:\WINNT\system32\cvebemxd.exe
C:\WINNT\system32\cvebemxd.exe Has been deleted!

 Attempting to delete C:\WINNT\system32\pmkji.dll
C:\WINNT\system32\pmkji.dll Has been deleted!

 Attempting to delete C:\WINNT\system32\ijkmp.ini
C:\WINNT\system32\ijkmp.ini Has been deleted!

 Attempting to delete C:\WINNT\system32\ijkmp.bak2
C:\WINNT\system32\ijkmp.bak2 Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.2.2

Checking Java version...

Java version is 1.5.0.6

Scan started at 18:09:15 15/10/2006

Listing files found while scanning....

No infected files were found.


Beginning removal...

je l'ai repassé apres pour voir et il n'a rien trouve d'autre !

Kristopher · Answer

Re,

Ne t'inquiètes pas, la désinfection se passe très bien pour le moment ;)

Regarde et essaie de comprendre un peu : 

Lors du scan en ligne avec l'antivirus il y avait "Echec de la désinfection" pour le fichier C:\WINNT\system32\wvurssr.dll 

Or le logiciel que je t'ai proposé VundoFix a non seulement supprimé ce fichier mais également d'autres, non décelés pas l'antivirus en ligne !

"J'ai passe ad aware et ai supprime tout ce qu'il a trouve idem avec spyboot."

C'est bien ça aussi, mets un nouveau rapport HT pour y voir davantage :>

Comme le dirais Léo Ferré : C'est extra he he :)

vincentq · Answer

voila le nouveau scan de ht
Logfile of HijackThis v1.99.1
Scan saved at 19:08:58, on 15/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32
vsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\System32\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnpstd.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Evermore\EyeKIDZ\fr\ekfilter.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINNT\system32\RunDLL32.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\palmOne\Hotsync.exe
C:\WINNT\system32undll32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\CDBurnerXP Pro 3\cdbxp.exe
C:\Documents and Settings\querre\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - C:\WINNT\system32\eydiounk.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7D00738B-6974-4794-98D4-DE79A07ECD81} - C:\WINNT\system32\wvurssr.dll (file missing)
O2 - BHO: (no name) - {FDDA7444-8246-4376-B8C9-86EFD60F72F7} - C:\WINNT\system32\pmkji.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SW20] C:\WINNT\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINNT\System32\sw24.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [eklnchr] C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOneegister.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O20 - Winlogon Notify: App Paths - C:\WINNT\system32\lv8409lqe.dll (file missing)
O20 - Winlogon Notify: Reliability - C:\WINNT\system32\fplm0331e.dll (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\q2pslc771f.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Windows Windows Sheduler (Microsoft Windows Scheduled Tasker) - Unknown owner - C:\WINNT\eiRecvr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32
vsvc32.exe

Kristopher · Answer

C'est bien beau de coller des logs HijackThis comme ça... Mais tu sais parler aussi non ?

vincentq · Answer

pourquois dis tu cela ?
"Ma premiere ligne est voila le scan de hj"
que veux tu que je dise ?

^^Marie^^ · Answer

Slt,

Nous dire où en sont tes soucis.............

A++

vincentq · Answer

Salut,
Et bien je ne sais pas, Kristopher m'a demandé de faire un scan avec hijackthis  et de coller le log sur le site. Apres il semple me reprocher de l'avoir fait ! Je sais pas si le scan est bon et si il y a autre chose à faire.
Merci de ton aide

vincentq · Answer

Salut,
Et bien je ne sais pas, Kristopher m'a demandé de faire un scan avec hijackthis  et de coller le log sur le site. Apres il semple me reprocher de l'avoir fait ! Je sais pas si le scan est bon et si il y a autre chose à faire.
Merci de ton aide

vincentq · Answer

Je viens de refaire un scan avec AVG et rien.
Parcontre avec Ewido voila le résultat et encore des virus !


ewido anti-spyware - Scan Report
---------------------------------------------------------

 + Created at:	22:04:56 15/10/2006

 + Scan result:	



C:\VundoFix Backups\wvurssr.dll.bad -> Adware.Virtumonde : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\K96V01EJ\dfndrff_e_uit[1].exe -> Downloader.Adload.gp : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\K96V01EJ
wnmff_e[2].exe -> Downloader.Adload.gq : Cleaned.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\GXEN4LQ3\kybrdff_e[1].exe -> Downloader.Adload.gr : Cleaned.
C:\WINNT\$NtUpdateRollupPackUninstall$
etapi32.dll -> Not-A-Virus.Exploit.Win32.CAN.20030533 : Cleaned.
C:\WINNT\ServicePackFiles\i386
etapi32.dll -> Not-A-Virus.Exploit.Win32.CAN.20030533 : Cleaned.


::Report end

Merci de ton aide
A plus

vincentq · Answer

coucou,

bon j'interesse plus personne ou mon cas est vraiement desepéré ?

Bien amicalement

^^Marie^^ · Answer

Salut,

Pour avancer

fais ce qui suit


--B - spybot version 1.4 
 (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite 
voir demo d utilisation 
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

C -  Ccleaner : ( nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc..) 
Télécharge ici : 
https://www.ccleaner.com/ccleaner/download 
Tutorial ici: 
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 

D – Ewido
https://www.malekal.com/tutorial-et-guide-ewido-v4/ 
ou
http://www.infos-du-net.com/telecharger/Ewido-Anti-Malware.html

Mets le à jour en cliquant update now.
Fais un "complete system scan". 
A la fin du scan, vérifie qu'il y est bien marqué "delete à côté de chaque malware et clique seulement sur : "Apply all actions" 
 Ensuite, clique sur "Save Report " puis "Save report as" et sauve le rapport dans tes documents. 

Copie/colle le rapport


Ne prenez pas la mouche, restez muet comme une carpe, et 
caressez le chien dans le sens du poil !

vincentq · Answer

Voila alors Spyboot a trouvé pas de truc que j'ai supprimé ainsi que ccleaner idem plus reparation des erreures.

Voila le scan de Ewido qui est nickel

ewido anti-spyware - Scan Report
---------------------------------------------------------

 + Created at:	20:19:35 16/10/2006

 + Scan result:	



	Nothing found.



::Report end

vincentq · Answer

Rebonsoir,
J'ai change d'antivirus, c'est à dire que j'ai désinstallé AVG et mis Avast qui a l'air de s'occuper du peer to peer. Cela sera peut etre mieux. Apres update et scan il n'a rien trouvé.
J'ai refait un scan avec ewido et il n'a rien trouvé.
je post un scan de Hijackthis pour vous permettre de vérifier.
Il me semble que l'ordinateur à l'air d'être clean non ?
Merci pour vos conseils et aide

Logfile of HijackThis v1.99.1
Scan saved at 23:42:44, on 16/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnpstd.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Evermore\EyeKIDZ\fr\ekfilter.exe
C:\WINNT\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\palmOne\Hotsync.exe
C:\WINNT\system32undll32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\querre\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SW20] C:\WINNT\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINNT\System32\sw24.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [eklnchr] C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOneegister.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\evermore\eyekidz\fr\eklsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O20 - Winlogon Notify: App Paths - C:\WINNT\system32\lv8409lqe.dll (file missing)
O20 - Winlogon Notify: Reliability - C:\WINNT\system32\fplm0331e.dll (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\q2pslc771f.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Windows Windows Sheduler (Microsoft Windows Scheduled Tasker) - Unknown owner - C:\WINNT\eiRecvr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32
vsvc32.exe

^^Marie^^ · Answer

Tu es encore infecté, 
Je repasserai dans la journée

A++

Séb08 · Answer

slt,

Télécharge LSPfix ici : 
http://www.cexx.org/LSPFix.exe 
Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton. 
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer. 
Coche la case "I know what I'm doing" ("Je sais ce que je fais" ). 
Sélectionne toutes les instances de la dll suivantes :

eklsp.dll

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove". 
Clique sur le bouton "Finish". 

Redémarre l'ordinateur. Remet un log Hijack STP

a+

Utilisateur anonyme · Answer

Salut Séb,

bah trop tard Marie ;-)

Bonne journèe à tous

vincentq · Answer

Bonjour Seb et Marie,

j'ai fait la manip.
Voila le  log Hijack
Logfile of HijackThis v1.99.1
Scan saved at 20:49:53, on 17/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINNT\vsnpstd.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\WINNT\system32undll32.exe
C:\Program Files\palmOne\Hotsync.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\querre\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SW20] C:\WINNT\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINNT\System32\sw24.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [eklnchr] C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOneegister.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com
O20 - Winlogon Notify: App Paths - C:\WINNT\system32\lv8409lqe.dll (file missing)
O20 - Winlogon Notify: Reliability - C:\WINNT\system32\fplm0331e.dll (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\q2pslc771f.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Windows Windows Sheduler (Microsoft Windows Scheduled Tasker) - Unknown owner - C:\WINNT\eiRecvr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32
vsvc32.exe

Merci pour votre analyse

Séb08 · Answer

Relance Hijack , choisi « do a scan only » coches ces lignes :

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - cdn.scan.safety.live.com/resource/download/scanner/wlscbase969.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com

O20 - Winlogon Notify: App Paths - C:\WINNT\system32\lv8409lqe.dll (file missing)
O20 - Winlogon Notify: Reliability - C:\WINNT\system32\fplm0331e.dll (file missing)
O20 - Winlogon Notify: RunOnceEx - C:\WINNT\system32\q2pslc771f.dll (file missing) 

O23 - Service: Windows Windows Sheduler (Microsoft Windows Scheduled Tasker) - Unknown owner - C:\WINNT\eiRecvr.exe (file missing) 

Ensuite cliques sur « fix checked ».

=====================================

recherche et supprime ces fichiers (si présents) :

C:\WINNT\system32\lv8409lqe.dll 
C:\WINNT\system32\fplm0331e.dll 
C:\WINNT\system32\q2pslc771f.dll

=====================================

Arrête ce service   Windows Windows Sheduler  pour ça fais cette manip :
Démarrer -> executer tape services.msc  clic droit sur le service cité - > propriétés et dans "type de démarrage" et mets le sur « arrêté «  et « désactivé ».

Vide ta poubelle, redémarre ton PC et dis moi ou en sont tes probs .

a+

Kristopher · Answer

Bonsoir tout le monde,

Merci Séb d'avoir bien pris le relais pendant mon absence (du à un formatage - au moins ça speed maintenant ^^)

Je vois que tu as bien repéré les autres infections qui restaient - la plus hostile, Vundo, étant eradiqué au poste < 4 >.

Donc ça ma l'air presque bon - laissons vincentq poster un nouveau log HT.

Bonne soirée !

vincentq · Answer

Bonsoir a Seb et Kristofer,

J'ai fait les manips avec Hijack.
En cherchant avec demarer rechercher, je n'ai trouvé aucun des fichiers que tu souhaite que je supprime.
j'ai desactivéwindows sheduler.
Voila le nouveau log HJ

Logfile of HijackThis v1.99.1
Scan saved at 20:15:43, on 18/10/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINNT\System32
vsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\ups.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINNT\vsnpstd.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Evermore\EyeKIDZ\fr\ekfilter.exe
C:\WINNT\system32\RunDLL32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
C:\Program Files\palmOne\Hotsync.exe
C:\WINNT\system32undll32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\querre\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SW20] C:\WINNT\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINNT\System32\sw24.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [eklnchr] C:\Program Files\Evermore\EyeKIDZ\fr\eklnchr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOneegister.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32
vsvc32.exe

Merci de votre aide

Séb08 · Answer

ca m'a l'air clean !

Ou en sont tes probs ?

Au passage slt Kris et de rien, à charge de revanche !  ;-)

a+

vincentq · Answer

Et bien je viens de me remettre à utiliser internet explorer pour voir et cela à l'air d'aller. de toute facon je prefere firefox que j'utilise presque exclusivement, mais c'est avec IE que cela était le plus infernal pendant l'infection. J'ai fait un scan minutieux avec avast et il n'a rien trouvé..... alors, quel est le verdict docteur..... guérie ???
merci

Séb08 · Answer

Ok de rien :)

Pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) : 
http://www.bitdefender.fr/bd/site/search.php#
Clique sur « scan on line »  suis les instructions.
Et colle le rapport 

a+

vincentq · Answer

Voila un jolie rapport tout beau tout clean non?

BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Fri, Oct 20, 2006 - 22:19:40

 
	

 
	

 

Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:24:58

Fichiers
	

128383

Directoires
	

2390

Secteurs de boot
	

4

Archives
	

3674

Paquets programmes
	

9005
	

 
	

 

Résultats

Virus identifiés
	

0

Fichiers infectés
	

0

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

0
	

 
	

 

Info sur les moteurs

Définition virus
	

477837

Version des moteurs
	

AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Analyse des plugins
	

13

Archive des plugins
	

38

Unpack des plugins
	

6

E-mail plugins
	

6

Système plugins
	

1
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

Aucun virus trouvé.


Je crois que je suis guéri non?
Merci

Kristopher · Answer

Oui, apparemment tu es guéri.

Bonne continuation !

vincentq · Answer

Merci beaucoup pour vos conseils et votre action.
comment peut on vous aider à notre tour ?
Bien cordialement

^^Marie^^ · Answer

comment peut on vous aider à notre tour 

En venant nous faire un coucou de temps en temps et nous offrir un coup à boire....

A++

-DD

Séb08 · Answer

Y'a pas de prob le plaisir est pour nous !

Bon surf!

a+

Infecté par project 1

31 réponses

Votre réponse

Discussions similaires

Newsletters