Problème de virus ou spy très coriace Résolu/Fermé

Question

Bonsoir, 
Je suis apparement infecté par un spy ou un 
virus dont les symptomes ressemblent aux dommages causés par le virus Serwab : les pubs se multiplient et me proposent un antivirus : WinAntiVirusPRO 2006.  De plus, mon pC est extrêmement ralenti au démarrage.
Dès le départ, j'ai essayé de l'éradiquer avec mon anti-virus (AVG Free edition), j'ai même essayé d'utiliser Norton 2006 en version d'essai, rien n'y fait ! 
J'ai essayé également Spybot sans succès. J'ai également effectué des essais avec BFU, Navipromo, Killbox et Blacklight de f-secure, seul ce dernier à l'air de trouver des fichiers infectés mais ne les supprime pas.
J'ai donc telechargé Hijackthis, voici le log copié ci-dessous, si quelqu'un peut m'aider, merci d'avance ! 

Rapport :
Logfile of HijackThis v1.99.1
Scan saved at 20:06:06, on 20/02/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\msdtc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\BENIC\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Barre &Magique - {01A7812B-59E8-4A4F-BFD6-EEE6D4CB6BA2} - C:\Program Files\Telecom Italia France\Barre Magique 1.05.08.22\Tiscali BBar.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} (IsHere Class) - http://barremagique.aliceadsl.fr/download/BarreMagique.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\YAMAHA\MidRadio Player\midradio.ocx
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

philae83 · Answer

bonsoir,

* Télécharge  Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
 (de F-Secure)
(le premier de la page)

Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique blbeta.exe  et accepte la licence;
clique Scan  puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log  (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
 NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
 car des fichiers légitimes peuvent être présents,  tel wbemtest.exe

rouky13 · Answer

Bonsoir, 
Je te remercie pour ton aide.
Voici le rapport :
02/21/07 21:12:26 [Info]: BlackLight Engine 1.0.55 initialized
02/21/07 21:12:26 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/21/07 21:12:26 [Note]: 7019 4
02/21/07 21:12:26 [Note]: 7005 0
02/21/07 21:12:29 [Note]: 7006 0
02/21/07 21:12:29 [Note]: 7011 936
02/21/07 21:12:30 [Note]: 7026 0
02/21/07 21:12:30 [Note]: 7026 0
02/21/07 21:12:30 [Note]: 7024 3
02/21/07 21:12:30 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
02/21/07 21:12:44 [Note]: FSRAW library version 1.7.1021
02/21/07 21:15:14 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
02/21/07 21:15:14 [Note]: 10002 1
02/21/07 21:15:14 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
02/21/07 21:15:14 [Note]: 10002 1
02/21/07 21:15:14 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
02/21/07 21:15:14 [Note]: 10002 1
02/21/07 21:15:15 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
02/21/07 21:15:15 [Note]: 10002 1
02/21/07 21:16:56 [Note]: 7007 0

philae83 · Answer

re

ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

*  Télécharge  CCleaner

http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite).

Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

* télécharge Brute Force Uninstaller

http://www.merijn.org/files/bfu.zip
 

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)
 

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)
 

* télécharge Navipromo.zip (par lazzzy)

http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
et décompresse-le sur ton bureau

* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

https://forum.pcastuces.com/default.asp#haut

à la lettre C

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.


* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. 
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu 
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois. 

* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. 
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. 
* Clique exit pour fermer le programme BFU.
Recommence encore une fois


* Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" : 

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd" 

=> Supprime-les tous

* lance Ccleaner pour un nettoyage complet.

* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

rouky13 · Answer

Merci beaucoup pour ton aide. Avant d'éditer le rapport, voici ce que je n'ai pas pu faire :
Au lancement de Navipromo, rien ne s'est passsé sur la 1ère option. En suppression heuristique, un rapport a bien été établi.
Beaucoup plus loin, dans les options internet, j'ai supprimé "Electronic Group" dans la liste des éditeurs approuvés.
Ci-joint ci-dessous le rapport Navipromo :

Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 21:51:40,55

L'opération se déroule en mode sans échec sous le compte BENIC 

** Recherche...

1/ egqajtdmdn trouvé, recherche de egqajtdmdn* 
C:\WINNT\system32\egqajtdmdn.dat
C:\WINNT\system32\egqajtdmdn.exe
C:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

 
-------------

Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 21:53:12,99

L'opération se déroule en mode sans échec sous le compte BENIC 

** Recherche...

1/ egqajtdmdn trouvé, recherche de egqajtdmdn* 
C:\WINNT\system32\egqajtdmdn.dat
C:\WINNT\system32\egqajtdmdn.exe
C:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

 
-------------

 
-------------

Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 22:03:03,93
L'opération se déroule en mode sans échec sous le compte "BENIC" 

** Recherche...

1/ egqajtdmdn trouvé, recherche de egqajtdmdn* 
C:\WINNT\system32\egqajtdmdn.dat
C:\WINNT\system32\egqajtdmdn.exe
C:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

 
-------------

Rapport Navipromo.bat 0.72 effectué le mer. 21/02/2007 à 22:03:29,26
L'opération se déroule en mode sans échec sous le compte "BENIC" 

## Suppression Heuristique 

* Backups :

C:\Navipromo\Backups\Heuristic\egqajtdmdn.dat
C:\Navipromo\Backups\Heuristic\egqajtdmdn.exe

Ajout d'extension .off aux backups
Backups exe renommés avec succès
Backups dat renommés avec succès

## Fin du rapport Heuristique

philae83 · Answer

OK

reposte un rapport blacklight stp

rouky13 · Answer

J'ai comme l'impression qu'il s'est passé quelque chose de positif !
BlackLight ne détecte aucune infection visiblement. Je surfe plus vite et je n'ai pas eu depuis de fenêtres intempestives !
Voici le rapport :
02/21/07 22:26:07 [Info]: BlackLight Engine 1.0.55 initialized
02/21/07 22:26:07 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/21/07 22:26:08 [Note]: 7019 4
02/21/07 22:26:08 [Note]: 7005 0
02/21/07 22:26:11 [Note]: 7006 0
02/21/07 22:26:11 [Note]: 7011 916
02/21/07 22:26:11 [Note]: 7026 0
02/21/07 22:26:12 [Note]: 7026 0
02/21/07 22:26:25 [Note]: FSRAW library version 1.7.1021
02/21/07 22:29:28 [Note]: 7007 0

philae83 · Answer

C'est ok

lance Hijackthis coche et fixe cette ligne

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/ 

plus de soucis ?

rouky13 · Answer

Bonjour,
J'ai suivi ta dernière indication conseillée dans ton message précédent.
Je n'ai visiblement plus de problème.
Je tiens beaucoup à te remercier pour ton aide précieuse ainsi que pour ta compétence.
Cordialement,
Rouky13 !

philae83 · Answer

ok, merci,

pense à mettre ton topic en résolu.
BOnne journée

Problème de virus ou spy très coriace

9 réponses

Discussions similaires