HELP : virus startpage

stef -  
 cybercoyotte -
Bonsoir,
Je me permets de solliciter l'aide d'une personne pouvant m'aider à détruire ce virus (je suis sur XP Family).

Pour le moment j'ai fait scanner mon disque un peu partout (ravantivirus, panda, a2, secuser,kapersky....) mais il me reste toujours le virus startpage situé : C:/WINDOWS/update13.js.

Merci de m'aider et (le cas échéant) de bien m'expliquer la démarche car je ne connais pas grand chose dans ce domaine.

Par avance Merci

14 réponses

  1. stef
     
    Bonsoir,

    Je viens de faire ce que tu m'as demandé, j'espere que cela va t'aider à comprendre car pour moi c'est chinois

    Merci pour ton aide

    Logfile of HijackThis v1.98.2
    Scan saved at 19:19:43, on 03/09/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Anti-Virus\fsgk32st.exe
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Anti-Virus\FSGK32.EXE
    C:\WINDOWS\system32\srvany.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\resetservice.exe
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Anti-Virus\fssm32.exe
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FSMA32.EXE
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FSMB32.EXE
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FCH32.EXE
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Anti-Virus\fsav32.exe
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FAMEH32.EXE
    C:\temp\msbb.exe
    C:\Program Files\BullsEye Network\bin\bargains.exe
    C:\Program Files\Internet Optimizer\optimize.exe
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\MESSAG~1\StartMessager.exe
    C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FSM32.EXE
    C:\Documents and Settings\Stephane\Mes documents\ln.rocher\DFW\Program\fsdfwd.exe
    C:\WINDOWS\System32\wpabaln.exe
    C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Logitech\ImageStudio\LowLight.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Grisoft\AVG7\avgwa.dat
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=3409
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=145499
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://searchcentral.cc/index.php?v=4&aff=3409
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
    O1 - Hosts: 81.211.105.69 lender-search.com
    O1 - Hosts: 81.211.105.68 hot-searches.com
    O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
    O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
    O2 - BHO: (no name) - {618D3454-EF19-7CE0-D355-645579DE2F4C} - C:\WINDOWS\System32\bhjgqhi.dll
    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
    O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
    O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
    O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
    O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
    O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
    O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
    O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
    O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
    O4 - HKLM\..\Run: [obilqb] C:\WINDOWS\obilqb.exe
    O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
    O4 - HKLM\..\Run: [mrnhqdkdxxee] C:\WINDOWS\System32\jxvgjgow.exe
    O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
    O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
    O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
    O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Documents and Settings\Stephane\Mes documents\ln.rocher\TNB\TNBUtil.exe" /CHECKALL
    O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKCU\..\Run: [Ntrt] C:\Documents and Settings\Stephane\Application Data\cncu.exe
    O4 - HKCU\..\Run: [Rjsjwcdn] C:\WINDOWS\System32\dbdgbfsx.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=8c4f4634a6cb3563992c4afb91102a05d8cb6fabaea1d720dfb649ed4800f9e347d3b936bd4ef578beff3de5a7f1248299b0:61c349ac2c9d0346d02ce89775140bcf
    O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093800652994
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7856989E-68E4-40FC-A768-90C49EF6DC63}: NameServer = 80.10.246.1 80.10.246.132
    O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll
    0
  2. stef
     
    En plus, (sans vouloir abuser de ta gentillesse), AVG vient de me trouver un virus, je vais te noter ca qui est indiqué :

    Objet : C:/Documents and Settings/Stephane/Local Settings/Temp/alchem.cab:/alchem.exe

    Résultat : Cheval de Troie Downloader.Alchemic.A

    Etat : Infecté, Objet Incorporé

    Si jamais tu peux m'aider à le déloger, j'apprécierais !!
    Encore Merci
    A +
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. stef
     
    je crois que je n'ai pas de firewall, je suis aujourd'hui sur la version d'évaluation d'AVG 7.0... D'ailleurs je ne sais meme pas comment faire pour m'en procurer un !!!

    J'essai de faire ce que tu me dis dès maintenant
    0
  5. beuz. Messages postés 763 Date d'inscription   Statut Membre Dernière intervention   2
     
    tiens, voici un site ou tu pourras trouver ce qu'il faut:
    http://sebsauvage.net/logiciels/

    antivirus gratuit
    firewall " "
    anti spyware...

    et tou ça, gratuit

    __________________
    infini...même au delà
    0
  6. stef
     
    Je viens de terminer ce que tu m'as demandé de faire, et le cheval de troie est toujours là d'après le scan que je viens de faire par le biais d'AVG...

    Donc si tu as une nouvelle solution, je suis encore une fois preneur

    Merci
    0
  7. beuz. Messages postés 763 Date d'inscription   Statut Membre Dernière intervention   2
     
    essayes un autre truc:

    win+pause (pour win:next to "alt")
    onglet restauration du systeme et cocher désactivé, tu eteinds ton pc pour tu la ralume, a ce moment la tu fais f8 (au démarage) tu vas avoir un écran noir avec "mode sans echec" tu vas dessus, tu fais tout tes scan, AV, spybot si tu as, ad aware aussi, tu met en quarantaine si il te trouve des trucs, tu eteinds ton pc puis tu le ralume normalement.

    a ce moment la, tu n'oublies pas de décocher la restauration du systeme!

    mais avant ça, tu coupe ta connection au net et tu utilise le premier lien que je t'ai donné, tu fais clean&reboot

    voila un bon truc pour les trojan et spyware, mais il me semble qu'il ne desinfecte pas, mais par contre il te faire voir ou ils sont!
    http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11009622s,00.htm

    pour la liste plus haut, je laisses mes collegues s'en charger, je ne suis pas encore tout a fait au point avec ça:o)
    __________________
    infini...même au delà
    0
  8. stef
     
    j'ai fait tout ce que tu m'as dit :

    Le virus startpage est parti mais il reste un cheval de troie Downloader.Alchemic.A

    En fait en plus de ce que tu m'as conseillé, une fois que j'ai eu terminé le scan grâce à ton lien j'ai aussi fait avec free eraser setup (resto système désactivé et en mode sans echec)

    Maintenant je suis revenu en configuration normale mais il rest tjrs le trojan cité ci-dessus

    Question : Est ce que tu crois que je peux aller sur panda faire un scan en mode sans echec et avec la désactivation de la resto systeme ???

    Merci par avance de me répondre
    0
  9. beuz. Messages postés 763 Date d'inscription   Statut Membre Dernière intervention   2
     
    le lien que je t'ai donné, te permet de vider ton cache historique des pages web visitées, de tes programme installés, car ceux ci ce mettent dans les fichiers temp pendant la copie des fichiers, les cookies.....

    en gros c'est comme passer un coup de balais au moi une fois par jour.
    et ça, tu n'as pas besoin de le faire en mode sans echec!

    pour ton trojan, as tu fais un scan en mode sans echec avec ton antivirus mis a jour?

    as tu installé spybot et ad-aware?====>ne pas oublier de faire les mises a jours aussi!!!!
    et as tu mis un pare feux (firewall)?

    __________________
    infini...même au delà
    0
  10. stef
     
    merci pour toutes ces infos, maintenant tous mes pb ont disparu...

    Encore Merci
    a +
    0
  11. Utilisateur anonyme
     
    salut il se pourai que ce fichier ne sois pas un cheval de trois http://www.commentcamarche.net/processus/wuauclt-exe.php3
    faut scaner d'abord ton ordi avant de le suprimer
    @+++
    0
    1. cybercoyotte
       
      bonsoir Jess15,
      c'est suite à une lecture sur le site de Sophos que je me suis permis d'écrire que WUAUCLT.EXE c'était un troyen
      [code]
      Troj/Cult-B est un cheval de Troie de porte dérobée qui permet à un intrus distant d'accéder et de contrôler l'ordinateur via les canaux IRC.
      A chaque fois que le cheval de Troie est exécuté, il essaie de se connecter sur un serveur IRC distant et de joindre un canal spécifique. Le cheval de Troie s'exécute alors en fond de tâche comme processus serveur, attendant des commandes à exécuter.

      Lors de sa première exécution, le cheval de Troie se copie dans le dossier système de Windows sous le nom de fichier WUAUCLT.EXE et crée dans la base de registre l'entrée suivante pour que WUAUCLT.EXE s'exécute automatiquement à chaque fois que Windows est démarré :
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
      Microsoft auto update = WUAUCLT.EXE [/code]
      http://www.sophos.fr/virusinfo/analyses/trojcultb.html
      0
  12. Utilisateur anonyme
     
    re salut y'a trop de spy sur ton log suprimes les avec c antispyware

    (spy bot)
    http://www.safer-networking.org/index.php?page=mirrors

    (adware)
    http://www.ordi-netfr.org/tutorialadaware.html

    (CWshredder)
    http://www.soft32.com/download_19014.html

    pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next

    telecharge cette antitrojan
    http://www.emsisoft.net/fr/
    pense a les mettre a jour avant de les lance
    ensuite refait un scan et colle le resultat ici

    @+++++++
    0