[virus] infecté par exploit.adodb.stream.CI

Fermé
mat - 15 févr. 2007 à 20:11
 Regis59 - 16 févr. 2007 à 17:37
Bonjour,

J'ai deux virus que bit defender 10 n'arrive pas à supprimer, un exploit adodb stream CI et un trojan downloader.
J'ai essayer de les supprimer en mode sans echec, de desactiver la restauration système, j'ai utilisé CCLEANER, Hijackthis, AVG antispyware, ad aware, j'ai insérer la clé de registre qui permet de supprimer adodb stream, mais rien n'y fait, dès que je redémarre, le virus revient...

Merci d'avance
A voir également:

26 réponses

  • 1
  • 2
Réponse 1 / 26
Utilisateur anonyme
15 févr. 2007 à 20:16
Salut,

Fait un HijackThis: et poste le!

HijackThis = évaluation des logs: https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

après on verra ben!?!
0
Réponse 2 / 26
mat
15 févr. 2007 à 20:17
Voici mon rapport hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 20:13:29, on 15/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CyberLink\PowerVCRII\Agent.exe
C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\mat\Bureau\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Agent] "C:\Program Files\CyberLink\PowerVCRII\Agent.exe"
O4 - HKLM\..\Run: [Remote_Agent] "C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe"
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{103B6AF2-8AB0-44A8-9CA1-5FB2F1D6534B}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{26D43A08-40FE-4BAB-A809-3B9315CB3188}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B11B1F9-A95B-4ECE-8A87-822269C2618D}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AF24C1C-00BD-4147-90C6-1BEFFE6233BF}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{489BA7A7-1CF7-4C5F-905E-72E5D5633738}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{6134B5BF-AA30-4334-A20A-7A71CC3B657F}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACBC52C-4006-4C43-A471-B095EB2946AC}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
0
Réponse 3 / 26
mat
15 févr. 2007 à 20:36
quelqu'un aurait-il une solution, car là je ne sais plus quoi faire?
0
Réponse 4 / 26
Utilisateur anonyme
15 févr. 2007 à 20:44
FIXE ça




[?] - C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
[Y] - C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
[?] - C:\PROGRA~1\Wanadoo\Toaster.exe
[?] - C:\PROGRA~1\Wanadoo\Inactivity.exe
[?] - C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
[?] - O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
0
mat
15 févr. 2007 à 20:58
merci de me répondre, j'ai pu supprimer:
[?] - C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
[?] - O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

mais les autres:
[Y] - C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
[?] - C:\PROGRA~1\Wanadoo\Toaster.exe
[?] - C:\PROGRA~1\Wanadoo\Inactivity.exe
[?] - C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

n'apparaissent pas quand je relance hijackthis il sont seulement présent dans le log
0
mat
15 févr. 2007 à 21:03
sinon je peux les supprimer manuellement?
0
Utilisateur anonyme
15 févr. 2007 à 21:24
Oui tu peux,

Puisque tu a la racine des dossiers infectés suprime les en mode sans echec! et entre parenthese je ne suis pas sur que tous les présumés problémes en ssont vraiement, sachant que les antivirus sont la pour vendre leurs logiciels!
0
mat > Utilisateur anonyme
15 févr. 2007 à 21:42
c'est bon je l'ai fait et j'ai également supprimer le fichier infecté par le trojan downloader et vider le content IE5 dans lequel se trouve l'eploit adodb stream, mais les virus sont encore présent au redémarrage, je désespère...
0
mat > Utilisateur anonyme
15 févr. 2007 à 21:47
de plus, quand je clique sur un lien google, je suis rediriger vers d'autres sites, il y a t il un lien entre mes deux virus et ça ou est ce encore un autre virus...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
Utilisateur anonyme
15 févr. 2007 à 21:48
Mais se virus soit disant il te fait quoi precisement? sachant que certaint antivirus te trouve des trucs qui n'existe pas seulement pour bacheter leurs logiciels.

quel est le probleme que tu as actuellement vraiement?
0
Réponse 6 / 26
Utilisateur anonyme
15 févr. 2007 à 21:52
En attendant essaye ça télécharge plus mis a jour et apres scanne ! http://djebrouni.free.fr/monsite/XoftSpy415_97.exe
0
Réponse 7 / 26
mat
15 févr. 2007 à 21:54
les problèmes sont que mon ordinateur rame un peu, mon UC vacille entre 30 et 100 et que j'ai ce problème de redirection de lien google sinon tout va bien, mais j'ai lu que les virus exploit adodb stream était assez riqué donc...
0
Réponse 8 / 26
mat
15 févr. 2007 à 22:04
ce logiciel m'as trouvé un trojan de type registry value avec un risque élevé et quelque data miner, mais je ne peux pas les supprimer avec le logiciel car il faut s'enregistrer, est-ce que je les upprime manuellement?
0
Réponse 9 / 26
zBr
15 févr. 2007 à 22:09
Bonsoir

Mat, est-ce que tu peux faire ceci pour vérifier une chose:

Démarrer>exécuter et tapes cmd
Dans la fenêtre d'invite de commande qui s'ouvrira, copie et colle ce qui est en bleu ci-dessous: 
reg query "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders" /v SecurityProviders>>\reg.txt

puis valide avec "entrée"

copie et colle le contenu du fichier C:\reg.txt sur le forum.

a+
0
Réponse 10 / 26
mat
15 févr. 2007 à 22:14
voici:

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
SecurityProviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll, xlibgfl254.dll
0
Réponse 11 / 26
mat
15 févr. 2007 à 22:18
de plus, mon trojan se trouve dans softawre/microsoft/internet explorer/main/bandrest, et ça ne correspond à rien je ne sais pas où le trouver pour le supprimer

merci de votre aide et du temps que vous y consacrez
0
Réponse 12 / 26
zBr
15 févr. 2007 à 22:33
Télécharge Registry Search Tool, ici et enregistre le sur ton bureau.
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Dezippe le (clic droit dessus > extraire tout)
lance RegSrch.vbs, et si ton antivirus te le demande autorise le script.
Dans la fenetre du programme tape : ntoskrnl.dll
et valide avec ok
Puis refait la même chose avec cette fois avec: xlibgfl254.dll
copie et colle les deux rapport ici.

Pour softawre/microsoft/internet explorer/main/bandrest, c'est une clé dans le registre, rajoutée par l'adware Istbar (dyfuca), surement un reste d'infection passée.
Mais le plus important est de traiter le trojan droppé par la faille adodb stream.
En l'occurence:
C:\WINDOWS\system32\ntsystem.exe
C:\WINDOWS\system32\ntoskrnl.dll
et aussi:
C:\WINDOWS\system32\ xlibgfl254.dll

a+
0
Réponse 13 / 26
mat
15 févr. 2007 à 22:50
ca me met no instances found pour les deux
0
Réponse 14 / 26
zBr
15 févr. 2007 à 23:06
ok, c'est pas grave.

Ouvre le bloc note et copie et colle exactement ceci à l'intérieur: 
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Puis dans le menu "fichier", clic sur "enregistrer sous"
Dans "nom", tu mets fix.reg
et dans "type" choisis : Tous les fichiers
Enregistre le sur le bureau.

Double clic sur le fichier fix.reg et clic sur le bouton "oui" au message te demandant si tu veux fusionner dans le registre.

Lance Hijackthis et supprime:
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe

Puis:
Redemarre ton pc en mode sans echec:
laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Ensuite:
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

Recherche et supprime:
C:\WINDOWS\system32\ntsystem.exe
C:\WINDOWS\system32\ntoskrnl.dll < ne confond pas avec ntoskrnl.exe qui lui est clean.
C:\WINDOWS\system32\xlibgfl254.dl

Redemarre normalement ton pc et refais l'opération inverse pour recacher les fichiers système et cachés.
Et enfin, scanne en ligne ton pc ici:
http://www.bitdefender.fr/scan/license.php
et poste le rapport.

a+ et bon courage :-)
0
mat
15 févr. 2007 à 23:11
excuse moi mais c'est quoi le bloc note?
0
Réponse 15 / 26
zBr
15 févr. 2007 à 23:15
Regarde dans le menu demarrer> tous les progs> accessoires >bloc notes :-)

Ou bien si tu veux aller plus vite:
Demarrer > exécuter et tape notepad
et valide.
0
Réponse 16 / 26
mat
15 févr. 2007 à 23:44
j'ai effectué les manipulation, mais les deux fichiers dll n'etait pas présents dans system 32 donc j'ai essayé avec rgsch et il me les as trouvé et il ma dit qu'il les supprimait je te laisse le rapport en dessous:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "ntoskrnl.dll" 15/02/2007 23:27:41

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SecurityProviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll, xlibgfl254.dll"

[HKEY_USERS\S-1-5-21-1085031214-1580818891-1957994488-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"001"="ntoskrnl.dll"

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "xlibgfl254.dll" 15/02/2007 23:29:25

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SecurityProviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, ntoskrnl.dll, xlibgfl254.dll"

[HKEY_USERS\S-1-5-21-1085031214-1580818891-1957994488-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="xlibgfl254.dll"

par contre, le virus adodb stream est toujours présent

je ferais le scan bitdefender demain et je le posterai en début d'après midi, car je me lève tot demain donc je vais me coucher.

Merci encore pour tout
0
Réponse 17 / 26
zBr
16 févr. 2007 à 00:47
ok.

A quel endroit exactement ton AV detecte l'exploit ?
Dans un fichier temporaire internet ?

Si tu as le temps, tu feras ceci aussi demain:
télécharge et dézippe ce script:
http://cjoint.com/data/cqaOwHsjP4_mat.zip
puis lance le fichier mat.bat.
le bloc note s'ouvrira en fin d'exécution, copie et colle le rapport uniquement s'il mentionne un résultat.

a+ et bonne fin de soirée.
0
Réponse 18 / 26
mat
16 févr. 2007 à 09:22
Bonjour,
oui il se trouve dans temporary interent files/content IE5/puis un nom different a chaque fois

j'ai effectué ce que tu m'as dit, il me dit pour l'emplacement du virus, que le processus ne peut pas acceder au fichier car ce fichier est utilisé par un autre processus.
je te colle le rapport:

Fichiers supprimés:

C:\System32\ntoskrnl.dll supprimé
C:\System32\xlibgfl254.dll supprimé
C:\System32\ntsystem.exe supprimé
0
Réponse 19 / 26
mat
16 févr. 2007 à 12:23
c'est bon apparemment, les deux virus exploit adodb stream et trojan downloader ont disparus. Merci beaucoup pour ton aide.

Par contre la redirection de lien sous google via ck.maxifiles continue, si quelqu'un pouvait égaleme,nt m'aider ou dois-je créer un autre topic?

Sinon je colle mon rapport hijackthis après désinfection des premiers virus:

Logfile of HijackThis v1.99.1
Scan saved at 12:22:25, on 16/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\CyberLink\PowerVCRII\Agent.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\mat\Bureau\antivirus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Agent] "C:\Program Files\CyberLink\PowerVCRII\Agent.exe"
O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{103B6AF2-8AB0-44A8-9CA1-5FB2F1D6534B}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{26D43A08-40FE-4BAB-A809-3B9315CB3188}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B11B1F9-A95B-4ECE-8A87-822269C2618D}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AF24C1C-00BD-4147-90C6-1BEFFE6233BF}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{489BA7A7-1CF7-4C5F-905E-72E5D5633738}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{6134B5BF-AA30-4334-A20A-7A71CC3B657F}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACBC52C-4006-4C43-A471-B095EB2946AC}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
0
^^Marie^^ Messages postés 114053 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 277
16 févr. 2007 à 12:27
Il semblerait qu'on a piraté ton IP....

ck.maxifiles==> c'est normal ..... il va disparaitre avec --> Fixwareout


Salut

Télécharge Fixwareout à partir d'un des deux sites sur ton bureau :
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix : clique sur "Next" -> "Install" et assure toi que "Run fixit" est activé puis clique sur "Finish".
Le fix va alors commencer - suis les messages à l'écran.
Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages. Ensuite, lance HijackThis, puis clique sur “Do a system scan only” et coche ces lignes puis clique sur "Fix checked":

O17 - HKLM\System\CCS\Services\Tcpip\..\{103B6AF2-8AB0-44A8-9CA1-5FB2F1D6534B}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{26D43A08-40FE-4BAB-A809-3B9315CB3188}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B11B1F9-A95B-4ECE-8A87-822269C2618D}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AF24C1C-00BD-4147-90C6-1BEFFE6233BF}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{489BA7A7-1CF7-4C5F-905E-72E5D5633738}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{6134B5BF-AA30-4334-A20A-7A71CC3B657F}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACBC52C-4006-4C43-A471-B095EB2946AC}: NameServer = 85.255.113.146,85.255.112.173
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.146 85.255.112.173

…/…

À la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, copie/colle le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis.



Télécharge ceci pour récupérer ta connexion : au cas où ::

http://babin.nelly.free.fr/WinsockFix.zip


Bye
0
Réponse 20 / 26
zBr
16 févr. 2007 à 12:25
Salut mat

Apparement les trois fichiers, ont été supprimés ou n'existaient plus, c'est déjà une bonne chose.
Est ce que tu as eu des alertes après le passage du fix ?
Si oui, donne moi le chemin exact du fichier.
On va attendre de voir ce que va donner le scan de bitdefender et un nouveau rapport hijackthis avant d'entreprendre autre chose.

a+
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses