Infection ddabb.dll Résolu/Fermé

Question

Bonjour, 
J'ai un probleme avec ddabb.dll. Ce .dll ouvre plusieurs fenêtres du fureteur Internet explorer.
Je n'arrive pas à le supprimer...car le systeme l'utilise semblerait-il.

J'ai presque tout tenté ( plusieurs anti virus et les modes sans échecs). Vraiment impossible.

Je suis en train de me demander si je me dois de formater et réinstaller windows.

Qui peux m'aider?
Christine du Québec
Merci d'avance

choubaka · Answer

salut

ce serait un spyware ...

essaye une désinfection avec un logiciel adapté à ce genre mauvaises bêtes...

http://www.commentcamarche.net/telecharger/logiciel 4 securite

Québec · Answer

Bonjour,
J'ai presque tout essayé ces logiciels ..sans succes.
Christine

choubaka · Answer

ok, je te laisse aux mains de nos experts en désinfection alors ...

Lyonnais92 · Answer

Bonjour,

encore un peu tôt pour parler de formatage lol.

Par contre, sauvegarder sees données sur un support externe est un réflexe à avoir avant (pour ne pas pleurer après).

Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe 
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là : 
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
              http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

Québec · Answer

Bonjour,

Voici le rapport reçu avec Hijackthis.
Merci d'avance
Christine


Logfile of HijackThis v1.99.1
Scan saved at 8:35:53 AM, on 11/21/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Documents and Settings\Propriétaire\Mes documents\F?nts\?hkntfs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\SSTEM~1\arpa.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\WINDOWS\system32\cisvc.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.kayak.fr/?ispredir=true
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:81
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {949C275D-D98D-491B-92D0-555F835CC8EE} - C:\WINDOWS\system32\ddabb.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [c0778597] "rundll32.exe" "C:\WINDOWS\system32\jfddefbh.dll",b
O4 - HKLM\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKCU\..\Run: [Rnad] "C:\Documents and Settings\Propriétaire\Mes documents\F?nts\?hkntfs.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pbmn] "C:\WINDOWS\system32\SSTEM~1\arpa.exe" -vt yazb
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - https://www.extendedstayamerica.com/hotels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: ""
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\hequkpuk.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

Québec · Answer

Bonjour,
C'est fait
Merci
Christiane

Lyonnais92 · Answer

Re,

tu n'as ni antivirus ni parefeu. Poiurquoi ?

Tu réduits au strict nécessaire les connctions tant que l'antivirus n'est pas installé et en fonctionnement.

Mon conseil : antivir tuto et téléchargement ici  :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

Pour le parefeu, tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php 

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 
Double-clique VundoFix.exe afin de le lancer. 

Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le rapport (c:\vundofix.txt) dans ta réponse

Tu désactives puis tu arrêtes ces services :

DomainService

Tuto en image ici :

https://www.zebulon.fr/dossiers/windows/31-services.html

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [c0778597] "rundll32.exe" "C:\WINDOWS\system32\jfddefbh.dll",b


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\hequkpuk.exe
C:\WINDOWS\system32\jfddefbh.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

Sinon, tu redémarres l'ordi toi même.

Tu remets un rapport hijackthis.

quebec · Answer

Bosoir,
Voici tel que demandé les rapport
Je vais aussi sous peu le par feu et les logiciel anti espion que vous m'avez proposer.
Merci beaucoup de votre aide...j'apprécie bcp.
**PS pensez vous que je dois aussi effacer ddabb.dll ?
Christiane
 

**********************************
VundoFix V6.6.1

Checking Java version...

Java version is 1.4.2.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Scan started at 9:07:06 PM 11/21/2007

Listing files found while scanning....

No infected files were found.

*****************************************
Voici OTMoveIt 

File/Folder C:\WINDOWS\system32\hequkpuk.exe not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\jfddefbh.dll
C:\WINDOWS\system32\jfddefbh.dll NOT unregistered.
C:\WINDOWS\system32\jfddefbh.dll moved successfully.
 
Created on 11/21/2007 19:36:41

**************************************************
Voci hijack

Logfile of HijackThis v1.99.1
Scan saved at 9:42:43 PM, on 11/21/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Documents and Settings\Propriétaire\Mes documents\F?nts\?hkntfs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\SSTEM~1\arpa.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Webroot\Spy Sweeper\SSU.EXE
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.kayak.fr/?ispredir=true
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:81
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {56426223-35CF-479D-ACE0-CD8EE835BA57} - C:\WINDOWS\system32\ddabb.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Vaderetro Outlook] "C:\PROGRA~1\GOTOSO~1\VADERE~1\VrMoRegister.exe -s"
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\Core\smax4pnp.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [Rnad] "C:\Documents and Settings\Propriétaire\Mes documents\F?nts\?hkntfs.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pbmn] "C:\WINDOWS\system32\SSTEM~1\arpa.exe" -vt yazb
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - https://www.extendedstayamerica.com/hotels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: ""
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

Lyonnais92 · Answer

Re

l'antivirus, c'est tout de suite !!!!

et tu vérifies que le parefeu Windows est activé (démarrer, panneau de configuration, parefeu windows).

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\Propriétaire\Mes documents\F?nts\?hkntfs.exe
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

tu fais de même avec :

C:\WINDOWS\system32\ddabb.dll

@+

quebec · Answer

Bonjour,
Le par feux de windows est activé.
J'avais déjà l'antivirus Spy Sweeper d'installé, mais dois-je aussi installer Avirar ? Si vous me dites oui alors je j'hésiterai pas à le faire. 

*********************

Voici le rapport de ( j'ai changé les ''?'' par les bonnes lettres) 
C:\Documents and Settings\Propriétaire\Mes documents\Fonts\hkntfs.exe

Le scan me dit que cela a dejà été scanné le 16nov dernier et en option le scan me demande si je veux en avoir un nouveau. Alors voici le rapport du scan d'aujourd'hui. 

File __hkntfs.exe received on 11.22.2007 14:35:53 (CET)Antivirus Version Last Update Result 
AhnLab-V3 2007.11.22.1 2007.11.22 Win-AppCare/Purityscan.659456 
AntiVir 7.6.0.34 2007.11.22 AdSpy/PurityScan.CF 
Authentium 4.93.8 2007.11.21 - 
Avast 4.7.1074.0 2007.11.21 - 
AVG 7.5.0.503 2007.11.21 Adware Generic2.VJE 
BitDefender 7.2 2007.11.22 - 
CAT-QuickHeal 9.00 2007.11.22 (Suspicious) - DNAScan 
ClamAV 0.91.2 2007.11.22 - 
DrWeb 4.44.0.09170 2007.11.22 - 
eSafe 7.0.15.0 2007.11.21 Suspicious File 
eTrust-Vet 31.3.5316 2007.11.22 - 
Ewido 4.0 2007.11.21 - 
FileAdvisor 1 2007.11.22 - 
Fortinet 3.14.0.0 2007.11.22 - 
F-Prot 4.4.2.54 2007.11.22 - 
F-Secure 6.70.13030.0 2007.11.22 - 
Ikarus T3.1.1.12 2007.11.22 not-a-virus:AdWare.Win32.PurityScan.fn 
Kaspersky 7.0.0.125 2007.11.21 - 
McAfee 5168 2007.11.21 - 
Microsoft 1.3007 2007.11.22 Adware:Win32/ClickSpring.OuterInfo 
NOD32v2 2678 2007.11.22 probably a variant of Win32/Adware.PurityScan 
Norman 5.80.02 2007.11.22 W32/PurityScan.BJA 
Panda 9.0.0.4 2007.11.22 Suspicious file 
Prevx1 V2 2007.11.22 Adware.PurityScan 
Rising 20.19.31.00 2007.11.22 - 
Sophos 4.23.0 2007.11.22 - 
Sunbelt 2.2.907.0 2007.11.22 VIPRE.Suspicious 
Symantec 10 2007.11.22 Trojan.Adclicker 
TheHacker 6.2.9.136 2007.11.21 - 
VBA32 3.12.2.5 2007.11.20 - 
VirusBuster 4.3.26:9 2007.11.21 - 
Webwasher-Gateway 6.0.1 2007.11.22 Ad-Spyware.PurityScan.CF 
 
Additional information 
File size: 230400 bytes 
MD5: 1a351793fcdc288b0a144590d32ea3e0 
SHA1: c2de60a4eb7f4124acc918ded7a752673b7ab1be 
packers: PecBundle, PECompact 
packers: PE_Patch.PECompact, PecBundle, PECompact 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=F2888683004D5111840E03FD2E086B005877263C 
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. 

**************************************************


Voici le rapport du scan de 
C:\WINDOWS\system32\ddabb.dll 

File ddabb.dll received on 11.22.2007 14:12:26 (CET)Antivirus Version Last Update Result 
AhnLab-V3 2007.11.22.1 2007.11.22 - 
AntiVir 7.6.0.34 2007.11.22 TR/Vundo.Gen 
Authentium 4.93.8 2007.11.21 - 
Avast 4.7.1074.0 2007.11.21 - 
AVG 7.5.0.503 2007.11.21 Generic9.WBV 
BitDefender 7.2 2007.11.22 - 
CAT-QuickHeal 9.00 2007.11.22 - 
ClamAV 0.91.2 2007.11.22 - 
DrWeb 4.44.0.09170 2007.11.22 - 
eSafe 7.0.15.0 2007.11.21 - 
eTrust-Vet 31.3.5316 2007.11.22 - 
Ewido 4.0 2007.11.21 - 
FileAdvisor 1 2007.11.22 - 
Fortinet 3.14.0.0 2007.11.22 - 
F-Prot 4.4.2.54 2007.11.22 - 
F-Secure 6.70.13030.0 2007.11.22 Vundo.gen50 
Ikarus T3.1.1.12 2007.11.22 - 
Kaspersky 7.0.0.125 2007.11.21 - 
McAfee 5168 2007.11.21 Vundo 
Microsoft 1.3007 2007.11.22 - 
NOD32v2 2678 2007.11.22 - 
Norman 5.80.02 2007.11.21 Vundo.gen50 
Panda 9.0.0.4 2007.11.22 Suspicious file 
Prevx1 V2 2007.11.22 SpywareQuake 
Rising 20.19.31.00 2007.11.22 - 
Sophos 4.23.0 2007.11.22 - 
Sunbelt 2.2.907.0 2007.11.22 - 
Symantec 10 2007.11.22 - 
TheHacker 6.2.9.136 2007.11.21 - 
VBA32 3.12.2.5 2007.11.20 - 
VirusBuster 4.3.26:9 2007.11.21 Adware.Vundo.V.Gen 
Webwasher-Gateway 6.0.1 2007.11.22 Trojan.Vundo.Gen 
 
Additional information 
File size: 313440 bytes 
MD5: c65de7afeb4097c4e22214fb27661034 
SHA1: 54799dd3603be1829c7d8737c902a938cc97a989 
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=63096C4760905021C84404AB84608C00A97B89CD 

******************

Je voulais vous dire qu'hier en appliquant ce que m'aviez demandé dans votre message du 21nov, qu'un ancien virus a remis un Toolbar dans Internet explorer. Mais en relançant un logiciel de néttoyage ( ccleaner) j'ai réussi à le faire disparraitre.  

Situation actuel:
Maintenant je continu à avoir des popup quand je navigue sur internet et parfois mon bureau disparrait completement sans  réapparaitre parfois. Ce qui m'oblige fermer repartir mon ordi. Aussi quand je repart l'ordi mon disque dur travail énormément fort pendant plusieurs minutes. 

Je soupconne le ddabb.dll qui est sur mon disque depuis le 12nov ( jour où les problemes on commencé). Et ce ddabb.dll n'est pas effacable parce qu'on dit qu'il est utilisé par le systeme.  
Le jour du 12nov quand les problème ont commencé, j'ai également eu un message internet explorer qu'un nouveau programme voulait s'installer sur mon fureteur. Je l'avais noté et il s'appelait nsfC5.dll . Il est maintenant supprimé depuis le 15nov. 

Merci de votre aide. Je reste a votre disposition.  
Christiane

Lyonnais92 · Answer

2Bonjour,

très utiles informations.

Ouvre ce lien :
http://secubox.gateweb.org/mad.php

clique sur parcourir et recherche : C:\WINDOWS\system32\ddabb.dll 

dans le message adressé à notre équipe, tu mets ceci : 
==========================================
Bonjour,

envoi fait à la demande de Lyonnais92.

Mal reconnu par les AV 

Voici le rapport du scan de 
C:\WINDOWS\system32\ddabb.dll 

File ddabb.dll received on 11.22.2007 14:12:26 (CET)Antivirus Version Last Update Result 
 - 
AntiVir 7.6.0.34 2007.11.22 TR/Vundo.Gen 
  
AVG 7.5.0.503 2007.11.21 Generic9.WBV 
  - 
F-Prot 4.4.2.54 2007.11.22 - 
F-Secure 6.70.13030.0 2007.11.22 Vundo.gen50 
 McAfee 5168 2007.11.21 Vundo 
 - 
Norman 5.80.02 2007.11.21 Vundo.gen50 
Panda 9.0.0.4 2007.11.22 Suspicious file 
Prevx1 V2 2007.11.22 SpywareQuake 
 
VirusBuster 4.3.26:9 2007.11.21 Adware.Vundo.V.Gen 
Webwasher-Gateway 6.0.1 2007.11.22 Trojan.Vundo.Gen 

Additional information 
File size: 313440 bytes 
MD5: c65de7afeb4097c4e22214fb27661034 
SHA1: 54799dd3603be1829c7d8737c902a938cc97a989

Non reconnu par VundoFix de Atribune.
Merci;
=========================================


Tu cliques sur envoyer. Ne fais rien de plus, ne cherche pas à t'inscrire, ni à renvoyer le message.


télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

remets aussi un rapport hijackthis.

quebec · Answer

Après C:\ComboFix.txt il y a eu un reboot et et une grande fenetre bleu avec ce message qui suit: 

Stop: C0000218
Faillance d'un fichier du registre. Le registre ne peux pas charger la ruche ( fichier): \systemroot\system32\config\sam
ou son journal ou sa copie.
Il est endommagé, absent ou protégé. contre l'écriture.

Début du vidange de la mémoire physique...vidange de la mémoire physique terminé.
Contacter votre administrateur....

Est-ce vous mon administrateur?

Voilà
Christiane

Lyonnais92 · Answer

Bonjour,

non, c'est toi l'administrateur du PC

Tu as un fichier combofix.txt ? Si oui poste le.

Remets aussi un rapport Hijackthis.

Cette histoire de registre abimé est très ennuyeuse;

quebec · Answer

Bonsoir,
J'ai fait le combofix.exe tel que demandé
Suite à ça je n'ai pas pu repartir mon ordi.

Ca indiquait:

''Stop: C0000218 
Faillance d'un fichier du registre. Le registre ne peux pas charger la ruche ( fichier): \systemroot\system32\config\sam 
ou son journal ou sa copie. 
Il est endommagé, absent ou protégé. contre l'écriture. ''

Plus rien a faire. 
Un technicien vient tout juste de réinstallé windows et recopié mes fichiers ( 4heures soit 300$ dolars de coût)

Mais savez vous quoi? Devinez...

Lyonnais92 · Answer

Bonjour,

tu as encore cette ligne sur ton log Hijackthis ?

O2 - BHO: (no name) - {949C275D-D98D-491B-92D0-555F835CC8EE} - C:\WINDOWS\system32\ddabb.dll 

Il y avait encore des solutions avant de faire appel à un technicien.

Surtout si tu avais fait des sauvegardes de tes fichiers comme suggérés au post 4.

Par contre, si tu es encore infecté, ne le payes pas. Il n'a pas fait son boulot.

quebec · Answer

Bonjour,
Non évidemment le ddabb.dll n'est plus là...mon disque dur a été completement formaté pour réinstaller windows. 
Étant donné que ne ne pouvais plus repartir mon ordi, on a décidé de tout reformé et réinstaller windows.   
Je ne suis donc plus infecté.

Mais n'ayez crainte....le ddabb.dll a été completement éradiqué avec le combofix.exe
Vous avez réussi et le probleme n'est pas du a vous...tout est à cause du ddabb.dll

Je vous explique:
Je suis convaincu que tout est à cause de la suppression du ddabb.dl
Selon moi, vous et moi, avons réussi à le supprémer. Merci. J'ai vu que le combofix.exe avait trouvé le ddabb.dll . 

Mais c''est losrque que j'ai tenté de repartir mon ordi que j'ai recu le message dans la fenetre bleu que je vous ai parlé dans le message précedent. 
Je soupçonne que ce foutu virus est configuré pour faire planter l'ordi quand on le supprime.

Ce qui me pousse à penser ça c'est que hier j'ai eu la suprise de ma vie.
Je vous explique. Avant de formater mon disque dur, le technicien a fait une sauvegarde de mes fichiers, sans repartir windows évidement. Il a entre entre autre copié tout me fichiers et dossier importants sur mon backup ( mon disque dur externe). Il a aussi mis copié mes fichiers que j'avais sur mon ''bureau''. Une fois windows installé on a tout remis sur mon ordi....sauf le virus  haha

Or hier soir j'ai eu la SURPRISE suivante. J'ai remarqué que j'avais un fichier .zip sur mon bureau qui s'appelait ''CatchMe''.
J'ai ouvert sans le déziper..juste pour voir ce qu'il contenait. À l'intérieur il y avait un .dll. Devinez lequel??? LE MÊME ddabb.dll QUI CAUSAIT PROBLEME. J'AI MÊME EU PEUR QUELQUES MINUTES. Pas possible. Ce virus est une salloperie...croyez moi.

Je suis allé voir s'il était aussi sur le ''bureau de mon disque externe ( mon backup)...et il y était aussi. Selon moi ce ''CACHME'' s'est installé quand on l'a supprimé. Et c'est en faisant le backup qu'il s'est retouvé aussi sur mon disque dur externe aussi.
 
J'ai supprimé ce .zip de mon c:bureau ainsi que sur mon disque externe. Par chance je ne l'ai dezippé...une chance pour moi.

Voilà l'histoire. Qu'en pensez-vous?
Christiane

Lyonnais92 · Answer

Bonjour,

je crois que Combofix utilise catchme et que, effectivement, il est pris une sauvegarde des fichiers (car il y a toujours un risque de supprimer à tort un fiichier légitime).

C'est Combofix qui a demandé un reboot ?

ou c'est toi qui a fermé l'ordi et qui l'a relancé plus tard ?

(comment as tu pu voir la présence de ddabb.dll dans le log ?.

quebec · Answer

Bonjour,
Excusez pour mon message tardif...j'étais à l'extérieur de la ville.
Alors le fichier zip catchme est une sauvegarde des fichier détruits ? C'est ca?
Si je dézippe ce ''catchme'' est-ce dire que le ddabb.dll se réinstalle automatiquement???

Oui, j'ai vu que combofix avait le fichier ddabb.dll a détruire. Oui combofix a demandé un reboot. Mais j'ai dû attendre plusieurs longues minutes etmon disque dur ne semblait pas du tout travailer. Mon ordi était comme en attente. J'ai attendu longtemps puis comme il se passait rien j'ai refermé moi meme l'ordi.

Christiane

Lyonnais92 · Answer

Bonjour,

oui, ce dossier est une forme de backup (en cas d'erreur grossière). C'est aussi un moyen de faire parvenir une nouvelle variante de l'infection au concepteur de l'ouil pour qu'il l'améliore.

oui, dézipper ce dossier peut entraîner  le retour de l'infection.

Vide ta corbeille qui est le dernier endroit où il puisse encore se loger.

Encore des soucis ou des questions ?

quebec · Answer

En terminant, si je garde dans ma corbeille  ce zip catchme dans lequel se trouve le .ddl, ca peut etre dangereux?

Je vous remercie.
Christiane

Lyonnais92 · Answer

Re,

c'est avoir une grenade en permanence chez soi !

tu peux finir par oublier le contenu du zip et cliquer "juste pour voir".

Quelqu'un d'autre qui ne saura pas ce qui s'est pass" peut aussi ncliquer et hop, reparti pour un tour.

Supprime ce fichier.

C'est quoi l'idée ?

quebec · Answer

Tres bien, c'est fait.
Merci

Lyonnais92 · Answer

Bonjour,

alors je crois que ce topic peut être clos.

Encore désolé de ne pas avoir été meilleur sur ce coup

Bon surf.

quebec · Answer

Merci  pour votre aide.
Christiane

Lyonnais92 · Answer

Bonjour,

de rien. Ca a é avec plaisir.

quebec · Answer

Bonjour,
En passant vous en savez un peu sur la provenance de ce virus ddabb.dll
On le rencontre souvent?
Christiane

Lyonnais92 · Answer

Bonsoir,

difficile de te répondre.

l'infection Vundo est assez répandue.

mais l'analyse du fichier est assez bizarre. Il a été très mal reconnu.

Et le plantage de combofix m'intrigue aussi.

Infection ddabb.dll

27 réponses

Discussions similaires