SOS VIRUS WN32 AVAST IMPUISSANT Résolu

Question

Logfile of HijackThis v1.99.1
Scan saved at 11:37:35, on 17/05/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {482521E0-E0FC-411D-8183-B93F7FD4B0AC} - C:\WINDOWS\System32qrrssq.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\System32\wwwcekyw.dll
O2 - BHO: (no name) - {733084A9-5EED-4121-903D-BD4B52658285} - C:\WINDOWS\System32\hxirwvqu.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F21B7839-2D0A-4417-8B04-5C7FFC17BD11} - C:\WINDOWS\System32\ddaww.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] C:\WINDOWS\sndman.exe -i
O4 - HKLM\..\Run: [ImMsn] C:\WINDOWS\msncomm.exe /i
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [wxuqeiyg] c:\windows\system32\wxuqeiyg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\System32\ayjjrdoc.dll",realset
O4 - HKLM\..\Run: [runner1] C:\WINDOWSetadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32pcc.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [SvcManager] nvsvc0.exe
O4 - HKLM\..\Run: [chmslme] iallhjag.exe
O4 - HKLM\..\Run: [cxsemse] C:\WINDOWS\System32\clilqrwl.exe
O4 - HKLM\..\Run: [dlmicss] C:\WINDOWS\System32
etwsmlx.exe
O4 - HKLM\..\Run: [cpssystem] C:\WINDOWS\System32\smdlsset.exe
O4 - HKLM\..\Run: [ShareSearcher] C:
dksedil.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vexg6ame4.exe
O4 - HKCU\..\Run: [msnfo32s] C:\WINDOWS\msnfo32s.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [chmslme] iallhjag.exe
O4 - HKCU\..\Run: [cxsemse] C:\WINDOWS\System32\clilqrwl.exe
O4 - HKCU\..\Run: [dlmicss] C:\WINDOWS\System32
etwsmlx.exe
O4 - HKCU\..\Run: [cpssystem] C:\WINDOWS\System32\smdlsset.exe
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /scan
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://blog.mongenie.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29f67eab92b913a6d805/netzip/RdxIE601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {82002837-9442-4DD0-906F-31A346C56BE1} (Azadtel WebDialer Control) - http://ww1.love2love.com/azadtel/azadcall/AzadtelWebDialer.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\System32\a3dxx.dll
O20 - Winlogon Notify: ddaww - C:\WINDOWS\System32\ddaww.dll
O20 - Winlogon Notify: linksrv0 - C:\WINDOWS\SYSTEM32\linksrv0.dll
O20 - Winlogon Notify: rqrrssq - C:\WINDOWS\SYSTEM32qrrssq.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Unknown owner - C:\Program Files\ewido anti-spyware 4.0\guard.exe (file missing)

philo2100 · Answer

Je veux bien t'aider, mais je t'avoue que tu es quand même pas mal contaminé !!!
je ne sais pas ce que tu as fait sur le Net, mais je te suggère de prendre conscience que tu as eu sans aucun doutes été sur des sites et fait des download de trucs pas trés clair !
Tu as quoi comme fire-wall ?


coches + fixer dans Hijackthis
comment faire:

--------------

O2 - BHO: (no name) - {482521E0-E0FC-411D-8183-B93F7FD4B0AC} - C:\WINDOWS\System32qrrssq.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\System32\wwwcekyw.dll
O2 - BHO: (no name) - {733084A9-5EED-4121-903D-BD4B52658285} - C:\WINDOWS\System32\hxirwvqu.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKLM\..\Run: [ImMsn] C:\WINDOWS\msncomm.exe /i
O4 - HKLM\..\Run: [wxuqeiyg] c:\windows\system32\wxuqeiyg.exe
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\System32\ayjjrdoc.dll",realset
O4 - HKLM\..\Run: [runner1] C:\WINDOWSetadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32pcc.exe
 	O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [SvcManager] nvsvc0.exe
O4 - HKLM\..\Run: [chmslme] iallhjag.exe
O4 - HKLM\..\Run: [cxsemse] C:\WINDOWS\System32\clilqrwl.exe
O4 - HKLM\..\Run: [dlmicss] C:\WINDOWS\System32
etwsmlx.exe
O4 - HKLM\..\Run: [cpssystem] C:\WINDOWS\System32\smdlsset.exe
O4 - HKLM\..\Run: [ShareSearcher] C:
dksedil.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vexg6ame4.exe
O4 - HKCU\..\Run: [msnfo32s] C:\WINDOWS\msnfo32s.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [chmslme] iallhjag.exe
O4 - HKCU\..\Run: [cxsemse] C:\WINDOWS\System32\clilqrwl.exe
O4 - HKCU\..\Run: [dlmicss] C:\WINDOWS\System32
etwsmlx.exe
O4 - HKCU\..\Run: [cpssystem] C:\WINDOWS\System32\smdlsset.exe
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /scan
O16 - DPF: {82002837-9442-4DD0-906F-31A346C56BE1} (Azadtel WebDialer Control) - http://ww1.love2love.com/azadtel/azadcall/AzadtelWebDialer.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab




O20 - Winlogon Notify: A3dxq - C:\WINDOWS\System32\a3dxx.dll
O20 - Winlogon Notify: ddaww - C:\WINDOWS\System32\ddaww.dll
O20 - Winlogon Notify: linksrv0 - C:\WINDOWS\SYSTEM32\linksrv0.dll
O20 - Winlogon Notify: rqrrssq - C:\WINDOWS\SYSTEM32qrrssq.dll 
----------
fais ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-de-nettoyage.html
------------------------------------
fais ceci:
http://support.f-secure.fr/fra/home/ols.shtml
postes le rapport
-------------------------
faits ceci ensuite:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html
poste le log aussi:
----------------------
bon courage dans la résolution de tes soucis.

Darkkiller · Answer

Bonjour,

Tu es multi-infecté !

Ouvre Hijackthis et clique sur "Do a system scan only" et coche ecs lignes :

O2 - BHO: (no name) - {482521E0-E0FC-411D-8183-B93F7FD4B0AC} - C:\WINDOWS\System32qrrssq.dll

O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\System32\wwwcekyw.dll

O2 - BHO: (no name) - {733084A9-5EED-4121-903D-BD4B52658285} - C:\WINDOWS\System32\hxirwvqu.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {F21B7839-2D0A-4417-8B04-5C7FFC17BD11} - C:\WINDOWS\System32\ddaww.dll

O4 - HKLM\..\Run: [SoundMan] C:\WINDOWS\sndman.exe -i

O4 - HKLM\..\Run: [ImMsn] C:\WINDOWS\msncomm.exe /i

O4 - HKLM\..\Run: [wxuqeiyg] c:\windows\system32\wxuqeiyg.exe

O4 - HKLM\..\Run: [SManager] smanager.7.exe

O4 - HKLM\..\Run: [iut75] c:\windows\system32\drivers\uzcx.exe

O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\System32\ayjjrdoc.dll",realset

O4 - HKLM\..\Run: [runner1] C:\WINDOWSetadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A

O4 - HKLM\..\Run: [WindowsHive] C:\WINDOWS\System32pcc.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe

O4 - HKLM\..\Run: [SvcManager] nvsvc0.exe

O4 - HKLM\..\Run: [chmslme] iallhjag.exe

O4 - HKLM\..\Run: [cxsemse] C:\WINDOWS\System32\clilqrwl.exe

O4 - HKLM\..\Run: [dlmicss] C:\WINDOWS\System32
etwsmlx.exe

O4 - HKLM\..\Run: [cpssystem] C:\WINDOWS\System32\smdlsset.exe

O4 - HKLM\..\Run: [ShareSearcher] C:
dksedil.exe

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vexg6ame4.exe

O4 - HKCU\..\Run: [msnfo32s] C:\WINDOWS\msnfo32s.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /scan

O16 - DPF: {82002837-9442-4DD0-906F-31A346C56BE1} (Azadtel WebDialer Control) - http://ww1.love2love.com/azadtel/azadcall/AzadtelWebDialer.cab

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab

O20 - Winlogon Notify: A3dxq - C:\WINDOWS\System32\a3dxx

O20 - Winlogon Notify: ddaww - C:\WINDOWS\System32\ddaww.dll

O20 - Winlogon Notify: linksrv0 - C:\WINDOWS\SYSTEM32\linksrv0.dll

O20 - Winlogon Notify: rqrrssq - C:\WINDOWS\SYSTEM32qrrssq.dll

Puis quand tu as coché ces lignes, clique sur "Fix Checked"

----------------------------------------------------------------------------
Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 
Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 

----------------------------------------------------------------------------

Désinstalle error safe via Ajout/Suppression des  programmes (si présent)
----------------------------------------------------------------------------
Télécharge Killbox : http://www.downloads.subratam.org/KillBox.zip 

Décompresse-le dans un dossier dédie ! 
Un dossier KillBox.exe va appraitre, double-clique dessus un encadré blanc va appraitre entre ce fichier :

C:\WINDOWS\sndman.exe
C:\WINDOWS\msncomm.exe
c:\windows\system32\wxuqeiyg.exe
smanager.7.exe
C:\WINDOWS\System32\ayjjrdoc.dll
C:\WINDOWSetadpu27.exe 
C:\WINDOWS\System32pcc.exe
C:\WINDOWS\System32\kernels32.exe
nvsvc0.exe
iallhjag.exe
C:\WINDOWS\System32\clilqrwl.exe
C:\WINDOWS\System32
etwsmlx.exe
C:\WINDOWS\System32\smdlsset.exe
C:
dksedil.exe
C:\WINDOWS\System32\spoolsvv.exe
C:\winstall.exe
C:\WINDOWS\System32\vexg6ame4.exe
C:\WINDOWS\msnfo32s.exe
C:\Windows\xpupdate.exe
C:\Program Files\ErrorSafe Free

Assures-toi que "Delete on reboot" est coché
Puis ensuite clique sur la petite croix blanche dans un rond rouge. 
Il vont te poser une question disant :
 Files will be Removed on Reboot, Do you want to reboot now ?" 
(Les fichiers seront supprimés au redémarrage. Souhaitez redémarrer maintenant ?) 
Dans ce cas clique sur "oui" 
Puis repost un log Hijackthis. 

----------------------------------------------------------------------------

Prends connaissance du contenu le lien suivant: 

http://www.f-secure.com/products/license-terms/eult_fra.pdf 

Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger. 

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Darkkiller · Answer

Désolé philo jte laisse avec ;)


@+++
Bonne journée

philo2100 · Answer

salut Darkkiller ,
il est possible que l'on a posté simultanément...
Vu la longeur des infections détectées !!
Si tu veux tu peux continuer...c'est comme tu le sens ?
;-)

Nilou17 · Answer

Salut les gars ! :-)


Hé, Guadlov, tu n'as pas l'impression d'avoir oublié quelquechose, là ?
Si si, regarde ici, puis là


Tu débarques ici, pas de bonjour, pas de merci, juste un log HijackThis surinfecté ! 
Heureusement pour toi que philo2100 et Darkkiller t'ont répondu, car avec un post comme ça, je t'aurais tout simplement ignoré.


Bonne journée à tous les deux ! :-)

philo2100 · Answer

Salut Nilou17,
remarque judicieuse.
le problème virus n'est pas nouveau !
guadlov1

guadlov1 · Answer

ho la la !

bjr excusez moi , je voulais offenser personne

une chose est sure je comptais remercier tout le monde meme si j'avoue que la je sais pas laquelle procédure  résoudra mon probleme

ps: je m 'y connais peu en informatique , j évalue mal la gravité du probleme peu etre...

dsl

philo2100 · Answer

re,
pour ne pas te disperser fais celle du 1.
 < 1 >  philo2100 (jeudi 17 mai 2007 à 12:16:39) 
ok ?

guadlov1 · Answer

DACCORD PHILLO

JE TE TIENS AU COURANT SOUS PEU...

philo2100 · Answer

pas de soucis....euh (évites les majuscules !!)
merci ...

guadlov1 · Answer

rebonsoir, philo


j'ai envoyé déja un post , je sais pas ou il est passé...


j'ai appliqué touttes les procécedures dans la chronologie sauf le scan en ligne qui a beugé

ton blog est trés bien expliqué, je perçois du mieux sur ma machine, je t'en remerci beaucoup de m'avoir aiguiller


merccccciiiiiiiiii

voiçi le rapport de navilog


Search Navipromo version 2.0.1 commencé le 17/05/2007 à 18:58:25.34
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 10.05.2007 a 22h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\s\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32\wwadd.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\wwadd.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 17/05/2007 à 19:02:36.50 ***

philo2100 · Answer

ok, fais ceci:
https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html
postes le log

guadlov1 · Answer

rebonjour,

bien dormi?

voici le rapport de vundo


VundoFix V6.3.23

Checking Java version...

Scan started at 12:59:25 17/05/2007

Listing files found while scanning....


VundoFix V6.3.23

Checking Java version...

Scan started at 13:07:46 17/05/2007

Listing files found while scanning....


VundoFix V6.3.23

Checking Java version...

Scan started at 13:16:41 17/05/2007

Listing files found while scanning....


VundoFix V6.3.23

Checking Java version...

Scan started at 09:36:35 18/05/2007

Listing files found while scanning....

C:\WINDOWS\system32\ayjjrdoc.dll
C:\WINDOWS\system32\codrjjya.ini
C:\WINDOWS\System32\ddaww.dll
C:\WINDOWS\system32\lnfjovtu.dll
C:\WINDOWS\system32\utvojfnl.ini
C:\WINDOWS\System32\wwadd.bak1
C:\WINDOWS\System32\wwadd.bak2
C:\WINDOWS\System32\wwadd.ini

Beginning removal...

 Attempting to delete C:\WINDOWS\system32\ayjjrdoc.dll
C:\WINDOWS\system32\ayjjrdoc.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\codrjjya.ini
C:\WINDOWS\system32\codrjjya.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\ddaww.dll
C:\WINDOWS\System32\ddaww.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\lnfjovtu.dll
C:\WINDOWS\system32\lnfjovtu.dll Has been deleted!

 Attempting to delete C:\WINDOWS\system32\utvojfnl.ini
C:\WINDOWS\system32\utvojfnl.ini Has been deleted!

 Attempting to delete C:\WINDOWS\System32\wwadd.bak1
C:\WINDOWS\System32\wwadd.bak1 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\wwadd.bak2
C:\WINDOWS\System32\wwadd.bak2 Has been deleted!

 Attempting to delete C:\WINDOWS\System32\wwadd.ini
C:\WINDOWS\System32\wwadd.ini Has been deleted!

Performing Repairs to the registry.
Done!

philo2100 · Answer

Bien, le fix a fait son boulot.
fait ceci:
https://leblogdeclaude.blogspot.com/2007/02/informatique-coller-un-rapport.html
juste pour voir...
reposte à la suite un log Hijackthis.
merci

guadlov1 · Answer

rebonsoir apres cette longue pause!

voiçi ce que  le scan a donné je poste hijackthis à la suite!


05/18/07 20:54:37 [Info]: BlackLight Engine 1.0.61 initialized
05/18/07 20:54:37 [Info]: OS: 5.1 build 2600 ()
05/18/07 20:54:49 [Note]: 7019 4
05/18/07 20:54:49 [Note]: 7005 0
05/18/07 20:55:32 [Note]: 7006 0
05/18/07 20:55:33 [Note]: 7011 1368
05/18/07 20:55:34 [Note]: 7026 0
05/18/07 20:55:35 [Note]: 7026 0
05/18/07 20:55:35 [Note]: 7024 3
05/18/07 20:55:35 [Info]: Hidden process: C:\WINDOWS\SNOWNOIT.EXE
05/18/07 20:55:58 [Note]: FSRAW library version 1.7.1021
05/18/07 20:56:18 [Info]: Hidden file: c:\WINDOWS\SYSTEM32.DLL
05/18/07 20:56:19 [Info]: Hidden file: C:\WINDOWS\SNOWNOIT.EXE
05/18/07 20:56:19 [Note]: 7002 0
05/18/07 20:56:19 [Note]: 7003 1
05/18/07 20:56:20 [Info]: Hidden file: c:\WINDOWS\SERVICES.DLL
05/18/07 20:56:30 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WINCOM32.INI
05/18/07 20:56:34 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WINDEV~1.SYS
05/18/07 20:56:37 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WINCOM32.SYS
05/18/07 20:56:39 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\WINDEV~1.INI
05/18/07 20:57:38 [Note]: 7007 0




voiçi le scan de hijackthis




Logfile of HijackThis v1.99.1
Scan saved at 21:14:21, on 18/05/2007
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {482521E0-E0FC-411D-8183-B93F7FD4B0AC} - C:\WINDOWS\system32qrrssq.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\System32\usmrhfbv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: MainExplorer - {89731480-D47D-4DC4-8A36-BAAE55E094C5} - C:\WINDOWS\iexplore.dll
O2 - BHO: (no name) - {8B09E42A-644F-4115-A5FC-749E710806D6} - C:\WINDOWS\System32\ddaww.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {CC29A83D-16D8-4521-B832-D35AE538195B} - C:\WINDOWS\System32\byvvv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\System32\lnfjovtu.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [chmslme] iallhjag.exe
O4 - HKCU\..\Run: [cxsemse] C:\WINDOWS\System32\clilqrwl.exe
O4 - HKCU\..\Run: [dlmicss] C:\WINDOWS\System32
etwsmlx.exe
O4 - HKCU\..\Run: [cpssystem] C:\WINDOWS\System32\smdlsset.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://blog.mongenie.com
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - https://www.afternic.com/domains/drivecleaner.com
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - https://www.f-secure.com/en/home/support
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29f67eab92b913a6d805/netzip/RdxIE601_fr.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: byvvv - C:\WINDOWS\System32\byvvv.dll
O20 - Winlogon Notify: linksrv0 - linksrv0.dll (file missing)
O20 - Winlogon Notify: rqrrssq - C:\WINDOWS\SYSTEM32qrrssq.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Unknown owner - C:\Program Files\ewido anti-spyware 4.0\guard.exe (file missing)

philo2100 · Answer

Tiens, tiens...
et que donne ceci:
https://leblogdeclaude.blogspot.com/2007/03/informatique-procdure-navifix.html

guadlov1 · Answer

bsr, voici ce que ça donne!


Search Navipromo version 2.0.1 commencé le 19/05/2007 à 20:35:13.87
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 10.05.2007 a 22h00 by IL-MAFIOSO

Executé en mode sans echec

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\s\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 05/19/07 at 20:35:21.
[-] ERROR: F-Secure BlackLight cannot be used in safe mode.
[+] Exited on 05/19/07 at 20:35:21 (return code = 3).


*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:

C:\WINDOWS\system32\vvvyb.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\vvvyb.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\vvvyb.bak2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 19/05/2007 à 20:36:32.20 ***

philo2100 · Answer

Bien, fais ceci:
https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html
et ceci:
https://leblogdeclaude.blogspot.com/2007/04/informatique-procdure-smitfraud.html
postes les log

guadlov1 · Answer

bjr,

excuses ; mon pc plante au démarrage , j'ai plus que le mode sans échec avec prise en charge du réseau
 
g déja essayer une restauration systeme à une date antérieure sans succès

galère, galère...

^^Marie^^ · Answer

'Lu tout le monde

En passant
windows plante demarrage pa en mde ss echec

philo2100 · Answer

Salut ^^Marie^^,  
;-)
  guadlov1 ....évites stp de multiplier les posts....
sinon, on ne va pas sans sortir, imagines que sur l'autre post on te donne  des procédures à suivre, et que moi je t'en donne d'autres !
Le mic-mac !

philo2100 · Answer

"e post ps partout,"
ne perd pas de vue que tout est lié !!!
----------------------------------------------------

guadlov1 · Answer

bjr,

ok puisque tout est lié , tu me conseilles koi à ce stade?

philo2100 · Answer

ne plus disperser tes post.
------------------------------------
ceci dit:
excuses ; mon pc plante au démarrage , j'ai plus que le mode sans échec avec prise en charge du réseau

g déja essayer une restauration systeme à une date antérieure sans succès 
-------------------------------------------------------------
Actuellement il est utille de faire ceci:
https://leblogdeclaude.blogspot.com/2007/05/procdure-vundofix.html

mais vu que l'état de ta machine à changé depuis le post :
 < 17 >  guadlov1 (samedi 19 mai 2007 à 20:38:43) 
je ne suis pas certain, que le formatage ne soit pas à l'horizon !

guadlov1 · Answer

ben merci pour ton aide,

est ce que je peux trouver le logociel de réinstallation de windows xp quelque part?

philo2100 · Answer

Je crois que si ton PC ne veux plus rien savoir..il est effectivement indispensable d'avoir une licence XP, pour réinstaller.
C'est la raison pour laquelle je préfère de loin les PC montés au PC de marque.
Au moins, on a accès au mode console...parfois ça dépanne !

SOS VIRUS WN32 AVAST IMPUISSANT - Page 2

Discussions similaires

Newsletters