[virus] msclock32.dll et compte à rebours.

hello

Télécharger ceci (merci a S!RI pour ce petit programme) :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
L'exécuter, puis double-cliquer sur Smitfraudfix.cmd
Choisir l’option 1, il va générer un rapport
Copier-coller ce dernier dans un message sur le forum.
En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php
------------------------------------------------------------­----------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du PC sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
------------------------------------------------------------­----------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.

salut,
j'ai télécharger Smitfraud mais adobe rader ne le prend pas en charge, donc impossible de travailler dessus.
Que doi-je faire?
Merci

re
ya pas besoin d adobe !
essaie de suivre ce qui est écrit "D'un bourricot , on n'a jamais fait un étalon, mais...."Google" veille...

bien, qd je doubleclique sur SmitfraudFix.cmd, je lis fichier process.exe absent! dezipper la totalité de l'archive dans un dossier.
C'est juste que , stp,comment faut-il faire?

Patience et longueur de temps.
"c'est vrai que dans mon cas le bourricot aura du mal à devenir étalon, toutefois misons sur les bienfaits du temps..."

bonjour vus 2,

paour aranjuez, egdaccess est bien présent.

Bonne désinfection

a+

Salut bilibou

Lorsque tu as telecharger le fichier smitfraudfix il faut le dezipper --> Clik droit sur le fichier et extraire tout.
Un fichier se cree a coté, ouvre le et lance le

Bye

ouf, j'y suis!
voilà le rapport, puis je passe à la suite( ref Aranjuez31)


SmitFraudFix v2.31

Rapport fait à 21:23:49,67, 18/04/2006
Executé à partir de C:\Documents and Settings\Utilisateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Utilisateur\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

re,

non, ne passe pas à la suite, pas d'infection smitfraud!


Télécharge Blacklight (de F-Secure) :

http://www.f-secure.com/blacklight/try.shtml

et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

a+

prends la suite, si t'es là aran!

a+

salut did71,
voici le rapport demandé:

04/18/06 21:50:01 [Info]: BlackLight Engine 1.0.35 initialized
04/18/06 21:50:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/18/06 21:50:01 [Note]: 7019 4
04/18/06 21:50:01 [Note]: 7005 0
04/18/06 21:50:05 [Note]: 7006 0
04/18/06 21:50:05 [Note]: 7011 1616
04/18/06 21:50:05 [Note]: 7026 0
04/18/06 21:50:05 [Note]: 7026 0
04/18/06 21:50:05 [Note]: 7024 3
04/18/06 21:50:05 [Info]: Hidden process: C:\windows\system32\dvelrkwtx.exe
04/18/06 21:50:05 [Note]: FSRAW library version 1.7.1015
04/18/06 21:52:53 [Info]: Hidden file: C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf
04/18/06 21:52:53 [Note]: 10002 1
04/18/06 21:53:03 [Note]: 4013 18147
04/18/06 21:53:03 [Note]: 4020 39527 524288
04/18/06 21:53:03 [Note]: 4018 39527 524288
04/18/06 21:53:20 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx.dat
04/18/06 21:53:20 [Note]: 10002 1
04/18/06 21:53:21 [Info]: Hidden file: C:\windows\system32\dvelrkwtx.exe
04/18/06 21:53:21 [Note]: 10002 1
04/18/06 21:53:21 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx_nav.dat
04/18/06 21:53:21 [Note]: 10002 1
04/18/06 21:53:21 [Info]: Hidden file: C:\WINDOWS\system32\dvelrkwtx_navps.dat
04/18/06 21:53:21 [Note]: 10002 1
04/18/06 21:53:25 [Info]: Hidden file: C:\WINDOWS\system32\__delete_on_reboot__msclock32.dll
04/18/06 21:53:25 [Note]: 10002 1
04/18/06 22:04:17 [Note]: 7007 0

je crois bien que mon virus est là. Dis-moi coment faire. a+ merci

Salut

tu peux juste me confirmer que tu as dvelrkwtx dans ajout/suppression de programme stp?

Merci

re,

la manip risque d'être longue prends ton temps!

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.


1)télécharge ewido :

http://www.ewido.net/fr/

installes le, met le à jour (ne lances pas de scan)
(Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

2)Télécharge Brute Force Uninstaller (de Merijn):

http://www.merijn.org/files/bfu.zip

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI:

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

3) Télécharge Killbox sur ton Bureau :

http://www.downloads.subratam.org/KillBox.exe

Double-clique killbox.exe.
Choisis l'option "Delete on reboot".

Copie le texte gras ci-bas (sélectionne tout avec ta souris, clic-droit et "Copier") :

C:\windows\system32\dvelrkwtx.exe
C:\WINDOWS\system32\dvelrkwtx.dat
C:\WINDOWS\system32\dvelrkwtx_nav.dat
C:\WINDOWS\system32\dvelrkwtx_navps.dat
C:\WINDOWS\system32\dvelrkwtx.dll
C:\WINDOWS\system32\msclock32.dll
C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete".
Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés !

Clique sur le bouton : All Files (!important!)

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)
Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.
Si tu ne reçois pas ce message, redémarre le PC avec le bouton "Démarrer".


4) Lorsque KillBox redémarre le PC, redémarre plutôt en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.


5) Du mode Sans Échec, lance HijackThis! et clique "Do a system scan only", puis coche ces lignes :

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKLM\..\Run: [dvelrkwtx] c:\windows\system32\dvelrkwtx.exe dvelrkwtx
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k


Clique "Fix checked", puis ferme HijackThis!


6) Toujours en sans échec :

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

Sous Scriptline to execute copie/colle cette ligne :

c:\bfu\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail. C'est très rapide comme exécution.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.


7) Toujours en sans échec, lance Ewido et fait un scan complet, puis sauvegarde le rapport généré.


8) Avec l'Explorateur Windows, recherche et assure-toi que ces fichiers et ce dossier n'existent plus (supprime si trouvés):

C:\windows\system32\dvelrkwtx.exe
C:\WINDOWS\system32\dvelrkwtx.dat
C:\WINDOWS\system32\dvelrkwtx_nav.dat
C:\WINDOWS\system32\dvelrkwtx_navps.dat
C:\WINDOWS\system32\dvelrkwtx.dll
C:\WINDOWS\system32\msclock32.dll
C:\WINDOWS\Prefetch\DVELRKWTX.EXE-37774F22.pf

9) Redémarre en mode Normal. Scan avec HijackThis!, sauvegarde le rapport et colle-le dans ta prochaine réponse, avec le rapport d'Ewido également.

bon courage

a+

J'ai bien dvelrkwtx dans ajout/suppression de programme .
Je ferai demain la manip de did.
Merci pour tout.
Je vous tiens au courant.

bonjour,
Je joins les 2 rapports demandés par did71. Je signale toutefois que les manip 6,7 et 8 je les ai faites sous windows car sous mode sans échec, les lettres se désagrègent au bout de quelques secondes( ???) et il m'est impossible de travailler.

ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 11:10:41, 19/04/2006
+ Somme de contrôle: 8EEF3D2A

+ Résultats du scan:

HKLM\SOFTWARE\Altnet -> Adware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Altnet\Dashboard -> Adware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Altnet\Dashboard\Messages -> Adware.Altnet : Erreur durant le nettoyage
:mozilla.21:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\4ye4kdne.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder
:mozilla.39:C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\4ye4kdne.default\cookies.txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder


::Fin du rapport

Logfile of HijackThis v1.99.1
Scan saved at 11:18:08, on 19/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,SKEYS,userinit.exe,SKEYS /I
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

J'espère que les choses s'arrangent
encore merci

bonsoir,

comment se comporte le pc?

a+

Salut did71,
Mon pc se porte bien mieux, ewido n'annonce plus msclock32.dll. Apparemment il n'est plus là.
Par contre, j'ai toujours le compte à rebours (100 à 1) au lancement du pc puis le redémarrage se fait tout seul. Embêtant mais pas inquiétant?
Merci
A+

bonjour,

il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok"

ensuite,passe un scan en ligne ici :

http://webscanner.kaspersky.fr/

poste le rapport kaspersky

a+

salut,
J'ai fait ce que tu m'as dit, par contre, j'ai essayé de télécharger kapersky, impossible; je lis:
échec de chargement du contrôle active x.....
Peut-on faire autrement?
merci

re,

essaie un de ceux ci :

http://housecall.antivirus.com/
http://www.pandasoftware.com/activescan/activescan.asp?
http://www.secuser.com/antivirus/
http://fr.bitdefender.com/scan/licence.php

a+

j'ai ibien nstallé houseCall;
il a detecté plusieurs grayware et les a tous supprimés excepté les 2 suivants:
ADW_SE 52856
ADW_SE 6680
Je vais tenté de voir ce que je peux faire.
a+