HELP : virus startpage Fermé

Question

Bonsoir,
Je me permets de solliciter l'aide d'une personne pouvant m'aider à détruire ce virus (je suis sur XP Family).

Pour le moment j'ai fait scanner mon disque un peu partout (ravantivirus, panda, a2, secuser,kapersky....) mais il me reste toujours le virus startpage situé : C:/WINDOWS/update13.js.

Merci de m'aider et (le cas échéant) de bien m'expliquer la démarche car je ne connais pas grand chose dans ce domaine.

Par avance Merci

beuz. · Answer

bonsoir,fais une analyse avec ce log et post le resultat ici.http://www.ordi-netfr.com/hijackthis.html__________________infini...même au delà

stef · Answer

Bonsoir, Je viens de faire ce que tu m'as demandé, j'espere que cela va t'aider à comprendre car pour moi c'est chinoisMerci pour ton aideLogfile of HijackThis v1.98.2Scan saved at 19:19:43, on 03/09/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\PROGRA~1\Grisoft\AVG7\avgamsvr.exeC:\PROGRA~1\Grisoft\AVG7\avgupsvc.exeC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Anti-Virus\fsgk32st.exeC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Anti-Virus\FSGK32.EXEC:\WINDOWS\system32\srvany.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32esetservice.exeC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Anti-Virus\fssm32.exeC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FSMA32.EXEC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FSMB32.EXEC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FCH32.EXEC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Anti-Virus\fsav32.exeC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FAMEH32.EXEC:	emp\msbb.exeC:\Program Files\BullsEye Network\bin\bargains.exeC:\Program Files\Internet Optimizer\optimize.exeC:\PROGRA~1\Wanadoo\CnxMon.exeC:\PROGRA~1\MESSAG~1\StartMessager.exeC:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exeC:\PROGRA~1\Wanadoo\TaskbarIcon.exeC:\Program Files\Real\RealPlayer\RealPlay.exeC:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXEC:\Program Files\Logitech\ImageStudio\LogiTray.exeC:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FSM32.EXEC:\Documents and Settings\Stephane\Mes documents\ln.rocher\DFW\Program\fsdfwd.exeC:\WINDOWS\System32\wpabaln.exeC:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exeC:\PROGRA~1\Grisoft\AVG7\avgcc.exeC:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeC:\WINDOWS\System32\wuauclt.exeC:\Program Files\Logitech\ImageStudio\LowLight.exeC:\Program Files\Wanadoo\EspaceWanadoo.exeC:\Program Files\Wanadoo\ComComp.exeC:\Program Files\Wanadoo\Watch.exeC:\Program Files\Grisoft\AVG7\avgwa.datC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=3409R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.frR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=145499R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://searchcentral.cc/index.php?v=4&aff=3409R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = WanadooR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)O1 - Hosts file is located at: C:\WINDOWS
sdb\hostsO1 - Hosts: 81.211.105.69 lender-search.comO1 - Hosts: 81.211.105.68 hot-searches.comO2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS
em219.dll (file missing)O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS	waintec.dllO2 - BHO: (no name) - {618D3454-EF19-7CE0-D355-645579DE2F4C} - C:\WINDOWS\System32\bhjgqhi.dllO2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dllO2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dllO2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32
vms.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dllO2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dllO2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dllO2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dllO4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exeO4 - HKLM\..\Run: [msbb] c:	emp\msbb.exeO4 - HKLM\..\Run: [obilqb] C:\WINDOWS\obilqb.exeO4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exeO4 - HKLM\..\Run: [mrnhqdkdxxee] C:\WINDOWS\System32\jxvgjgow.exeO4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exeO4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exeO4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager WanadooO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXEO4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exeO4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exeO4 - HKLM\..\Run: [F-Secure Manager] "C:\Documents and Settings\Stephane\Mes documents\ln.rocher\Common\FSM32.EXE" /splashO4 - HKLM\..\Run: [F-Secure TNB] "C:\Documents and Settings\Stephane\Mes documents\ln.rocher\TNB\TNBUtil.exe" /CHECKALLO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUPO4 - HKCU\..\Run: [Ntrt] C:\Documents and Settings\Stephane\Application Data\cncu.exeO4 - HKCU\..\Run: [Rjsjwcdn] C:\WINDOWS\System32\dbdgbfsx.exeO4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exeO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dllO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=8c4f4634a6cb3563992c4afb91102a05d8cb6fabaea1d720dfb649ed4800f9e347d3b936bd4ef578beff3de5a7f1248299b0:61c349ac2c9d0346d02ce89775140bcfO16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_cracks.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093800652994O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{7856989E-68E4-40FC-A768-90C49EF6DC63}: NameServer = 80.10.246.1 80.10.246.132O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll

stef · Answer

En plus, (sans vouloir abuser de ta gentillesse), AVG vient de me trouver un virus, je vais te noter ca qui est indiqué :

Objet : C:/Documents and Settings/Stephane/Local Settings/Temp/alchem.cab:/alchem.exe

Résultat : Cheval de Troie Downloader.Alchemic.A

Etat : Infecté, Objet Incorporé

Si jamais tu peux m'aider à le déloger, j'apprécierais !!
Encore Merci
A +

beuz. · Answer

bonsoir,

pour ton cheval de troie, vide tes fichiers temporaires avec ça:
http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/29039.html

apres avoir nettoyé, refais un scan pour voir si il est toujour la

pour la liste, je regardes .

as tu un firewall?

__________________
infini...même au delà

stef · Answer

je crois que je n'ai pas de firewall, je suis aujourd'hui sur la version d'évaluation d'AVG 7.0... D'ailleurs je ne sais meme pas comment faire pour m'en procurer un !!!

J'essai de faire ce que tu me dis dès maintenant

beuz. · Answer

tiens, voici un site ou tu pourras trouver ce qu'il faut:
http://sebsauvage.net/logiciels/

antivirus gratuit
firewall " "
anti spyware...

et tou ça, gratuit

__________________
infini...même au delà

stef · Answer

Je viens de terminer ce que tu m'as demandé de faire, et le cheval de troie est toujours là d'après le scan que je viens de faire par le biais d'AVG...

Donc si tu as une nouvelle solution, je suis encore une fois preneur

Merci

beuz. · Answer

essayes un autre truc:

win+pause (pour win:next to "alt")
onglet restauration du systeme et cocher désactivé, tu eteinds ton pc pour tu la ralume, a ce moment la tu fais f8 (au démarage) tu vas avoir un écran noir avec "mode sans echec" tu vas dessus, tu fais tout tes scan, AV, spybot si tu as, ad aware aussi, tu met en quarantaine si il te trouve des trucs, tu eteinds ton pc puis tu le ralume normalement.

a ce moment la, tu n'oublies pas de décocher la restauration du systeme!

mais avant ça, tu coupe ta connection au net et tu utilise le premier lien que je t'ai donné, tu fais clean&reboot

voila un bon truc pour les trojan et spyware, mais il me semble qu'il ne desinfecte pas, mais par contre il te faire voir ou ils sont!
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11009622s,00.htm

pour la liste plus haut, je laisses mes collegues s'en charger, je ne suis pas encore tout a fait au point avec ça:o)
__________________
infini...même au delà

stef · Answer

j'ai fait tout ce que tu m'as dit :

Le virus startpage est parti mais il reste un cheval de troie Downloader.Alchemic.A

En fait en plus de ce que tu m'as conseillé, une fois que j'ai eu terminé le scan grâce à ton lien j'ai aussi fait avec free eraser setup (resto système désactivé et en mode sans echec)

Maintenant je suis revenu en configuration normale mais il rest tjrs le trojan cité ci-dessus

Question : Est ce que tu crois que je peux aller sur panda faire un scan en mode sans echec et avec la désactivation de la resto systeme ???

Merci par avance de me répondre

beuz. · Answer

le lien que je t'ai donné, te permet de vider ton cache historique des pages web visitées, de tes programme installés, car ceux ci ce mettent dans les fichiers temp pendant la copie des fichiers, les cookies.....

en gros c'est comme passer un coup de balais au moi une fois par jour.
et ça, tu n'as pas besoin de le faire en mode sans echec!

pour ton trojan, as tu fais un scan en mode sans echec avec ton antivirus mis a jour?

as tu installé spybot et ad-aware?====>ne pas oublier de faire les mises a jours aussi!!!!
et as tu mis un pare feux (firewall)?

__________________
infini...même au delà

cybercoyotte · Answer

Bonjour  Stef et tout le monde , C:\WINDOWS\System32\wuauclt.exe  = troyen  !!!! voir  là : http://www.commentcamarche.net/forum/affich-978281-gros-pb-avec-wuauclt-exe

stef · Answer

merci pour toutes ces infos, maintenant tous mes pb ont disparu...Encore Mercia +

Utilisateur anonyme · Answer

salut il se pourai que ce fichier ne sois pas un cheval de trois http://www.commentcamarche.net/processus/wuauclt-exe.php3faut scaner d'abord ton ordi avant de le suprimer @+++

Utilisateur anonyme · Answer

re salut y'a trop de spy sur ton log suprimes les avec c antispyware

(spy bot)
http://www.safer-networking.org/index.php?page=mirrors

(adware)
http://www.ordi-netfr.org/tutorialadaware.html

(CWshredder)
http://www.soft32.com/download_19014.html

pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next

telecharge cette antitrojan
http://www.emsisoft.net/fr/
pense a les mettre a jour avant de les lance
ensuite refait un scan et colle le resultat ici

@+++++++