Winfixer 2005 et unplay.dll

Salut

peux tu tester egalement ce fichier

C:\WINDOWS\system32\apdd.dll

en te rendant sur le site

http://virusscan.jotti.org

colle le rapport et on voit après

Jean

Salut Jean, voilà le rapport :

File: apdd.dll
Status: INFECTED/MALWARE
MD5 c71a9405a3d649ed165257cc285509ca
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found BehavesLike:Trojan.TrustedZone (probable variant)
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Delf.lh
NOD32 Found nothing
Norman Virus Control Found nothing
UNA Found nothing
VBA32 Found Trojan.Clicker.Agent.4 (probable variant)

Re

Imprime cette manip pour ne rien oublier et bon travail :


A/ si tu ne les as pas, telecharge:

Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:

O2 - BHO: C:\WINDOWS\system32\apdd.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\system32\apdd.dll

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\unplay.dll

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.searchmeup.com

O20 - Winlogon Notify: unplay - C:\WINDOWS\unplay.dll


5) supprime les fichiers
C:\WINDOWS\unplay.dll
C:\WINDOWS\system32\apdd.dll


6) execute cleanup40.exe

tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.

redemarre

telecharge et ensuite tu fait clik droit dessus et executer
cela devrait remettre comme il faut la zone de securite
http://mvps.org/winhelp2002/DelDomains.inf

redemarre et refait un log hijack.

Salut jean

il va avoir du mal a la virer, unplay.dll=vundo b

D'accord......

un peu rapide sur cette action.

Fais une recherche sur 44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44

02 et 020 bien présentes et en plus il dit qu'il n'arrive pas à la virer en sans echecs...

on verra apres qu'il ait fait les manips...

Quand tu reviendras,

comme l'a dit Moe, tu n'a pas reussi à virer le dll.

va sur le site et telecharge le fix
http://securityresponse.symantec.com/avcenter/FxVundoB.exe
redemmare en mode sans echec
Double-click sur FxVundoB.exe file pour lancer l removal
Click Start pour commencer le process, et autorise l'outil à tourner.
a la fin redemarre ton ordi
relance une deuxième fois le programme de nettoyage Fx vundo B.
reactive ta restauration systeme

relance toin analyse anti virus pour voir

a plus

jean

refais un log Hijack et une bise à Moe.

Tu nous quitte ?

Non c'est lui qui te fera une bise (ou elle).

moi ... l'autre topic

Merci à tous les deux. je ferai pas de bises, juste une poignée de main amicale ;-)

je crois que j'essaierai ces manips demain quand je serai bien éveillé.

encore merci

Sinon, en cas d'echec du fix (ca arrive souvent) je te met la méthode manuelle, longue mais elle à fais ces preuves:


Imprime, ou fais un copier coller dans le bloc note pour ne rien oublier

telecharge process xp ici:
http://www.sysinternals.com/files/procexpnt.zip

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

Telecharge: fixvundo.reg ici:
http://www.bleepingcomputer.com/files/spyware/fixvundo.reg

Télécharge CWShredder:
http://cwshredder.net/bin/CWShredder.exe
et met le à jour.

Si tu as spybot ou ad-aware, met les à jours


une fois fais:
1/

� Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.


2/

Dézippe process xp et double clic sur processxp.exe

* Dans la fenetre principale de processxp double clic sur winlogon.exe
Dans la nouvelle fenetre qui s'ouvre clic sur threads
selectionne seulement les lignes qui contiennent unplay.dll puis clic sur kill pour chacunes des lignes trouvées.
une fois fait, valider avec ok

* Dans la fenetre principale de processxp double clic sur explorer.exe
Dans la nouvelle fenetre qui s'ouvre clic sur threads
selectionner seulement les lignes qui contiennent unplay.dll puis clic sur kill pour chacunes des lignes trouvées.
une fois fait, valider avec ok


3/

puis lancer hijackthis:

clic sur "do a system scan only"

* Cocher la case au début de ces lignes:

O2 - BHO: C:\WINDOWS\system32\apdd.dll - {405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\system32\apdd.dll
O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\unplay.dll
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
O20 - Winlogon Notify: unplay - C:\WINDOWS\unplay.dll

* Valider avec fix checked



4/
recherche et supprime:
C:\WINDOWS\system32\apdd.dll

5/
double clic sur fixvundo.reg et accepte de fusionner

6/

Double clic sur killbox.exe (Pocket Killbox)

- clic sur tool > delete temp files
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\unplay.dll

- clic sur le rond rouge
- une fenetre va apparaitre pour confirmation clic sur YES
- une seconde fenetre te demande si tu veux redemarrer clic sur YES

Laisse le pc redemarrer et ensuite lance cwshredder (clic sur fix)
lance aussi tes antispywares habituels (à jour)

après reposte un log hijackthis.

a+

Bonsoir
voilà, apparement les problèmes sont résolus. je n'ai pas eu besoin de passer par la méthode manuelle, le fix a été suffisant. Je remets un rapport hijackthis ci-dessous pour être certain. Un tout grand merci Moe et Jean !!!
Puis-je créer un point de restauration du système ?

Logfile of HijackThis v1.99.1
Scan saved at 20:22:36, on 11/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Launch Manager\QtDTAcer.EXE
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Gloria\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtDTAcer.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B79FA2B-260C-45DA-A225-C779AF019574}: NameServer = 195.238.2.22 195.238.2.21
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Salut donleeroy

pour moi, ton hijack est ok.
Et si tu ne constate plus de problemes, effectivement tu peux creer un point de restauration.

a+

Merci !!!

bonne soirée

;-)

à toi aussi !