Sujet Précédent Sujet Suivant

Uxdeiect.com et autres bestioles !

aircooledpower -  
 dav dav -
Bonjour à tous !

Voici quelques jours qu'une lutte acharnée s'est engagée entre ma machine et moi, je vais disjoncter ! Evidemment, j'ai écumé les forums, testé les "tri-thérapies" Hijack This, VirtumundoBeGone, VundoFix, rien n'y fait. J'utilise Avast (à jour), adaware, Spybot, Zone Alarm, JV16 power tools

Voilà l'histoire, ce qui m'a mis la puce à l'oreille c'est un message : "l'instruction à "0x10013fbe" emploie l'adresse mémoire "0x0014f73f". La mémoire ne peut être "read", qui apparaît quand je veux ouvrir un des lecteurs (le plus souvent C:). Ah bon ! Ce message ne me parle pas vraiment, ceci dit, c'est ce qui se produit par la suite qui est bien suspect, Windows me demande quel programme utiliser pour ouvrir C:, c'est pas banal !!!

Bref, aprés X analyses, voici les bestioles qui reviennent et reviennent encore :

C:\WINDOWS\System32\qommnlk.dll
C:\WINDOWS\System32\awvts.dll
C:\WINDOWS\system32\awvts.exe
C:\WINDOWS\System32\amvo .dll
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\stvwa.ini
C:\WINDOWS\system32\stvwa.ini2
C:\uxdeiect.com
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\ct.dll
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\RCX12.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP1.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP17.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP2.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP3.tmp

J'ai aussi tenté OTMoveIt, KillBox, en mode normal ou sans échec, rien à faire ils reviennent tout le temps, pas toujours sous le même nom, juste avec des variantes comme amvo, amvo1...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:33, on 21/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched .exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe
C:\Program Files\PC Cloneur Expert\TrueImageMonitor .exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp .exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Caïus Djeepéus\Bureau\Arsenal anti-troyen\HijackThis\HijackThis.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\awvts.exe
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\PC Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe (il est là le cochon, si je le vire il revient qd je redémarre)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

12 réponses

Réponse 1 / 12
tristan07 Messages postés 899 Statut Membre 35
 
vire le mais cette fois en mode sans échec pour cela tapote la touche f8 au démarrage de ton ordinateur choisi mode sans échec (ton écran sera modifier c'est normal ) ensuite refais ton scan avec hijack this et vire le ensuite redémarre ton ordi éteint le rallume le et recommence a tapoter la touche f8 et choisi le mode normal et normalement il sera plus la tien moi au courant
0
Réponse 2 / 12
aircooledpower
 
Bon, c'est fait, je l'avais déjà fait, mais par acquis de conscience, j'ai recommencé, voici le log. J'ai viré les deux lignes en gras, je mets en route un nouveau scan et on va voir...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:49, on 21/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Caïus Djeepéus\Bureau\Arsenal anti-troyen\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\awvts.exe
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\PC Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 3 / 12
aircooledpower
 
Voici le nouveau log, ils n'y sont plus effectivement. Par contre Prevx détecte toujours les lignes suivantes comme infectées :

C:\WINDOWS\System32\awvts.dll
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo .exe
C:\WINDOWS\System32\qommnlk.dll
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP1.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP2.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP25.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP5.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP4.tmp
C:\Documents and Settings\Caïus Djeepéus\Local Settings\Temp\TMP6.tmp

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:15:49, on 21/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Caïus Djeepéus\Bureau\Arsenal anti-troyen\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\awvts.exe
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\PC Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 4 / 12
aircooledpower
 
Sans même avoir redémarré, un nouveau Hijackthis et le voilà revenu ! Formatage obligatoire ?!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:06, on 21/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched .exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\PC Cloneur Expert\TrueImageMonitor .exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp .exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Caïus Djeepéus\Bureau\Arsenal anti-troyen\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cloneur Expert Monitor] "C:\Program Files\PC Cloneur Expert\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
tristan07 Messages postés 899 Statut Membre 35
 
bon puisque Mr virus en a decidé autrement tu va devoir donc télécharger le scan online de kapersky avec internet explorer puis tu va faire un scan je te donne l'adresse :https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr voila télécharge le et fais un scan tien moi au courant
0
aircooledpower
 
Bo, v'la le rapport Kaspersky :

Mais avant, je voudrais attirer ton attention sur cette ligne de hijackThis.F3 - REG:win.ini: load=C:\WINDOWS\system32\awvts.exe
A force de recherches, j'ai fini par découvrir que c'était un ver, au même titre que celui que trouve Kaspersky (mais l'ignore, merci du coup de main Kasper !). Bref ces sales bestioles se lancent au démarrage, c'est bien ça (win.ini). Bon, j'ai testé de les flinguer (en mode sans échec), puis de les virer (avec JV16) des programmes de démarrage. On ne peut pas dire que ça ne marche pas, mais une variante de la bestiole prend le relais (avec un nom similaire et l'ajout d'un numéro ou d'un espace, vicelard !). Aurais-tu une idée de la racine du mal, du prog qui génère ces cochoneries ?

Friday, December 21, 2007 9:44:08 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 21/12/2007
Enregistrements dans la base antivirus Kaspersky : 459580
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Zones critiques
C:\WINDOWS
C:\DOCUME~1\CAUSDJ~1\LOCALS~1\Temp\
Statistiques de l'analyse
Total d'objets analysés 14935
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:12:58

Nom de l'objet infecté Nom du virus Dernière action
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\PORTABLEJP.ldb L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{1E6DC643-EAD5-4A7C-8E4B-795384CFCA45}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\amvo.exe Infecté : Worm.Win32.AutoRun.bcw ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\JET1403.tmp L'objet est verrouillé ignoré
C:\WINDOWS\Temp\JETFDCB.tmp L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_564.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT02761.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT02788.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
0
Réponse 6 / 12
aircooledpower
 
Alors, m'revoila avec une config plus propre !

Aprés avoir essayé à peu prés tout ce que j'ai trouvé dans les forums, j'ai fini par rendre l'éponge ! J'ai simplement restauré un ghost de mon système. Pour le moment, je suis "clean", pourvu que ça dure ! Par contre, ce serait un bon point de réussir à trouver la parade contre les bestioles avec lesquelles je ne semble pas avoir été le seul à me battre...
0
Réponse 7 / 12
daveknight
 
Bjr Aircooledpower, j'ai eu ces bestioles dans ma bécane, aucun antivir n'a pu resoudre mon problème, j'ai la même config que toi, Avast! etc..., cependant j'ai pu l'enlèver manuellement, pénible mais cool...

Voici comment procéder:
1 - Etant donner que ce virus démarre directement avec le noyau système de XP, dans la clé de régistre RUN de la classe HKEY_LOCAL_MACHINE, tu trouveras sa variante amvo.exe... amvo1.exe...etc, voilà démarre en mode sans échec, si ton XP te le permet car le mien à refuser de démarrer en mode sans échec et j'ai rédémarrer en Console de récupération. Lorsque après le Login, XP te parle de clicquer sur OUI ou NON si tu as démarrer express en mode sans échec, ne répond pas à ce message, deplace cette fenêtre vers le bas pour qu'elle ne te gène pas dans le reste du processus, sans le fermer... car si tu la valide, les processus du noyau système sont lancés et le virus aussi est charger en mémoire et XP vérouille les fichiers du virus comme fichiers systèmes dépendant.

2 - Alors Tape sur clavier la combinaison de touche CTRL+SHIFT+ECHAP (CTRL+MAJ+ESC) pour ouvrir le gestionnaire des tâches, dans sa fénêtre, click sur Nouvelle Tâche, et lance Regedit. Sur le registre système fonce dans la clé RUN sur le chemin :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et supprime la variante de la bestiole... amvo...ou amvo1.exe que tu trouvera, tu annules ainsi le bootrape du virus.

3 - Ferme le registre, click encore nouvelle tâche dans la fenêtre du gestionnaire des tâches, et tape la commande CMD pour ouvrir la ligne de commande MS-DOS, dessus, va directement sur la racine de ton disque infecté... sois un CD\ [ENTER] et tu tombes dans la racine sois sur C:\ alors là tu tape la commande DIR /A pour vérifier que les bestioles sont bien là en mode caché et système. Si tu vois un truc du genre uxdeiect.com ou autorun.inf alors ils sont là !! Tape la commande ATTRIB -H -S -R *.* [ENTER] pour rendre tous les fichiers de la racine non sysème, non cachés, et non archivé. Là maintenant il ne te reste plus qu'à les supprimer comme tous les fichiers simples du monde avec la commande DEL Nom_du_fichier [ENTER]

4 - Ensuite entre dans le dossier système de XP, et appliques-y la commande ATTRIB comme précédement, supprime les fichiers amvo.exe ou sa variante, les DLL que tu as vu dans le rapport de scan plus haut dans ces posts, qui l'accompagnent. vérifier bien ces DLL, il n'ont aucune description sur le concepteur... Supprime les TOUS ! et sans clicker sur DEMARRER/ARRÊTE, Eteints ton PC à FROID en appuyant le bouton poussoir !!!

5 - Ta machine est clean ! si tu as bien survi le processus manuel, tu n'auras pas besoin de reformater ou de restaurer un Ghost de ton système !

NB.: j'ai créer pas mal de virus moi-même pour m'amuser dans le temps, alors sache que la majeure partie de temps, les virus se rend Système, pour que windows les attribut les propriétés système et caché ! comme ça ils font partie du noyau système, même l'antivirus est berné ! car il croit avoir à faire à un fichier du noyau système !

@+ si tu reussi ou rate fais-nous savoir ici !
David PONDA
depuis le Cameroun à Yaoundé
0
Réponse 8 / 12
ulyssen
 
salut
j'ai le meme prob, j'ai essayé de virer manuelement le virus comme tu l'a indiqué mais je n'arrive pas a le trouver quand je demarre en mode sans echec : tu pourrait me donne le nom exact du fichier a supprimer a l'etape 2 ?
merci de ton aide !
0
Réponse 9 / 12
daveknight
 
Salut Ulyssen,

je pense avoir été claire dans mes explications au niveau de l'étape 2 :
je me site :
2 - Alors Tape sur clavier la combinaison de touche CTRL+SHIFT+ECHAP (CTRL+MAJ+ESC) pour ouvrir le gestionnaire des tâches, dans sa fénêtre, click sur Nouvelle Tâche, et lance Regedit. Sur le registre système fonce dans la clé RUN sur le chemin :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et supprime la variante de la bestiole... amvo...ou amvo1.exe que tu trouvera, tu annules ainsi le bootrape du virus.

mon mail david_ponda@yahoo.fr ou msn.com contacte moi par Messenger si tu vx plus d'explications !!

@+ et bonne chance avc ces bêtes !! :) (à dire que moi même j'en ai créer souvant... (rire)).
0
Réponse 10 / 12
daveknight
 
Salut Ulyssen,

je pense avoir été claire dans mes explications au niveau de l'étape 2 :
je me site :
2 - Alors Tape sur clavier la combinaison de touche CTRL+SHIFT+ECHAP (CTRL+MAJ+ESC) pour ouvrir le gestionnaire des tâches, dans sa fénêtre, click sur Nouvelle Tâche, et lance Regedit. Sur le registre système fonce dans la clé RUN sur le chemin :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et supprime la variante de la bestiole... amvo...ou amvo1.exe que tu trouvera, tu annules ainsi le bootrape du virus.

mon mail david_ponda@yahoo.fr ou msn.com contacte moi par Messenger si tu vx plus d'explications !!

@+ et bonne chance avc ces bêtes !! :) (à dire que moi même j'en ai créer souvant... (rire)).
0
Réponse 11 / 12
ulyssen
 
coucou
j'ia trouvé sur le net une solution encore plus simple :)

voila le lien pour les explications :
http://www.greatis.com/appdata/d/a/amvo0.dll_Removal.htm

et celui pour telecharger ce logiciel bien pratique
http://www.greatis.com/regruns.zip

en tout cas merci de ton aide david !
0
Réponse 12 / 12
dav dav
 
salut à tous, moi aussi je suis confronté à ce virus la " amvoO.dll" j'ai téléchargé ton logiciel ulyssen mais je vois pas trop comment il marche, est ce que tu pourrais expliquer un peu s'il te plait?
merci d'avance.
0