rss
Ils ont besoin de votre aide Tous les messages sans réponse
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Résolu

[Trojan] infecté par Trojan.Win32.BHO.g

Posté par Manéliz, le samedi 25 novembre 2006 à 22:16:36
Bonjour,

Je suis sous windows XP et j'utilise IE6, mon antivirus AniVirusKit 2007 détecte :
Trojan-Spy.Win32.VBStat.h
Trojan.Win32.BHO.g
Win32.WinFixer.o

J'ai également des fenêres publicitaires qui arrivent inopinément...

En esspérant que quelqu'un m'aide et merci beaucoup d'avance.
Configuration: PC bureau sous
Windows XP
Protégé récemment par
AniVirusKit 2007
Répondre à Manéliz  Signaler ce message aux modérateurs Aller au dernier message
44 réponses 12

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
salwa, le samedi 25 novembre 2006 à 22:35:09
   
Répondre à salwa

21


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
geko, le dimanche 26 novembre 2006 à 18:09:38
salut salwa

depuis peu de temp je rencontre exactement le meme probleme que Manéliz et je ne sait pas dut tout ce ke je doit fair et j ai un probleme suplementair c est que cher moi j ai des pc en réseau et j ai peur de les infecter esque tu ne voudrai pas m aider

merci d avance Geko
   
Répondre à geko

22


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
salwa, le dimanche 26 novembre 2006 à 19:40:48
bonjour geko :) commence par telecharger hijackthis et les antispyware que j'ai conseillé ensuite creé ton propre sujet avec un log hikacjthis parceque si je te repond ici ca va embrouiller maneliz quand elle revien .

@+++

ps garde le meme pseudo pour que je puisse reperer ton sujet :)
   
Répondre à salwa

23


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
geko, le dimanche 26 novembre 2006 à 20:56:10
ok pas de probleme merci bcp de ce devoument

donc je garde le meme pseudo et le nom du log sera hikacjthis




ps: desoler du retard on a des inviter
   
Répondre à geko

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le samedi 25 novembre 2006 à 22:49:20
bonsoir et pour ton aide, voici le rapport d'hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 22:47:25, on 25/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit\AVK\AVKService.exe
C:\Program Files\G DATA AntiVirusKit\AVK\AVKWCtl.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\HP\KBD\KBD.EXE
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\G DATA AntiVirusKit\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/...{SUB_PRD}&clcid={SUB_CLSID}&pver=­{SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [omqrbzh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\omqrbzh.dll,ayobjic
O4 - HKLM\..\Run: [Ultimate Cleaner] C:\Program Files\Ultimate Cleaner\App.exe
O4 - HKLM\..\Run: [ERS_check] "C:\Program Files\Fichiers communs\ers_startupmon.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT

cnx|PARAM


O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolba­rNotifier.exe
O4 - HKCU\..\Run: [Tsra] "C:\PROGRA~1\MBOLS~1\ati2evxx.exe" -vt yazb
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/dd9a3ae8691e3351443ff6d21075­4e68_35.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wl­scbase8460.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloade­r.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/install2.5/insta­ller.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit\AVK\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA AntiVirusKit\AVK\AVKWCtl.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Documents and Settings\Compaq_Propriétaire\Bureau\ewido anti-spyware 4.0\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
   
Répondre à Manéliz

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le samedi 25 novembre 2006 à 22:50:32
(merci pour ton aide !! lol)
   
Répondre à Manéliz

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
salwa, le samedi 25 novembre 2006 à 23:11:45
re... lance hijack coche ces lignes ensuite clike sur fix checked

O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll (file missing)
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [omqrbzh.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\omqrbzh.dll,ayobjic
O4 - HKLM\..\Run: [Ultimate Cleaner] C:\Program Files\Ultimate Cleaner\App.exe
O4 - HKLM\..\Run: [ERS_check] "C:\Program Files\Fichiers communs\ers_startupmon.exe"

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/dd9a3ae8691e3351443ff6d21075­4e68_35.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/install2.5/insta­ller.exe

dans ajout/suppression de programe desinstalles ce programe

Ultimate Cleaner



cherche et supprime les fichier ou dossier en gras :

ALCXMNTR.EXE
C:\Windows\Creator\Remind_XP.exe
C:\WINDOWS\system32\omqrbzh.dll
C:\Program Files\Fichiers communs\ers_startupmon.exe

vide la corbeille

telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancées)
(1) ad-aware version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip
***
(2) spybot version 1.4

(ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite


voir demo d utilisation
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
***



et aussi ceci

(3) Ccleaner
http://www.malekal.com/tutorial_CCleaner.html
***

ps : un grand merci a balltrap pour les lien :)

(4) Edwido
http://download.ewido.net/ewido-setup.exe
Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

Clique sur scanner puis sur scan complet du système ensuite post le rapport ici suivi d'un log hijack

@++++
   
Répondre à salwa

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le samedi 25 novembre 2006 à 23:31:08
ok pour la suppression des fichiers/dossiers sauf pour

C:\Program Files\Fichiers communs\ers_startupmon.exe

que je ne trouve pas meme après avoir lancé une recherche.

Je vais télécharger les antispywares

Merci, à toute à l'heure
   
Répondre à Manéliz

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le dimanche 26 novembre 2006 à 00:29:21
une petite question ?? quand je télécharge edwido à partir du lien du forum je me retrouve avec AVG !! Est ce normale, ou bien est ce qu'il faut réellement ewido !

Merci !
   
Répondre à Manéliz

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
salwa, le dimanche 26 novembre 2006 à 00:35:29
c'est surement une erreur edwido et avg sont 2 programe different

vaut mieu utiliser le lien que je t'ai donne :)


@+++
   
Répondre à salwa

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le dimanche 26 novembre 2006 à 00:37:28
ok !

je lance alors avg et je poste le rapport
   
Répondre à Manéliz

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le dimanche 26 novembre 2006 à 01:18:11
j'espère que tu consultes aussi le dimanche ? ! lol
je reprends les manips demain ça prend bcp de temps

Merci encore et bonne nuit
   
Répondre à Manéliz

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le dimanche 26 novembre 2006 à 11:51:34
Bonjour,

Voici le rapport d'AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 11:47:02 26/11/2006

+ Résultat de l'analyse:



C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@247­realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@mic­rosoftwlmessengermkt.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@msn­portal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@com­[1].txt -> TrackingCookie.Com : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@cpv­feed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@sta­ts1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyé.
C:\Documents and Settings\Compaq_Propriétaire\Cookies\compaq_propriétaire@www­.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.


Fin du rapport




et celui d'hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 11:50:39, on 26/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA AntiVirusKit\AVK\AVKService.exe
C:\Program Files\G DATA AntiVirusKit\AVK\AVKWCtl.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\G DATA AntiVirusKit\AVKTray\AVKTray.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Forum\Spybot\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Forum\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/...{SUB_PRD}&clcid={SUB_CLSID}&pver=­{SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT

cnx|PARAM


O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolba­rNotifier.exe
O4 - HKCU\..\Run: [Tsra] "C:\PROGRA~1\MBOLS~1\ati2evxx.exe" -vt yazb
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Documents and Settings\Compaq_Propriétaire\Bureau\Forum\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wl­scbase8460.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloade­r.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit\AVK\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA AntiVirusKit\AVK\AVKWCtl.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Voilà ! j'ai aussi lancé ad aware, spybot et CCleaner comme demandé.

a+
   
Répondre à Manéliz

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
salwa, le dimanche 26 novembre 2006 à 12:33:12
bonjour ton log est propre :) refait un scan avec ton antivirus et dit moi si il detect tjr les trojan ?

@++++
   
Répondre à salwa

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le dimanche 26 novembre 2006 à 14:33:33
Bonjour,

A la suite du scan de mon antivirus, il y a toujours 4 virus :

-Downloader.Win32.WinFixer.o qui est rattaché au fichier WinAntiSpyware2006FreeInstall_fr[1].cab

-Downloader.Win32.WinFixer.o rattaché à WinAntiVirusPro2006FreeInstall_fr[1].cab

-Downloader.Win32.WinFixer.o rattaché à ErrorSafeFrenchNewReleaseInstall[1].cab

-RiskTool.Win32.Reboot.f rattaché à smitfraudfix.zip

Ces derniers ont été mis en quarantaine, et j'ai toujours des pages de pubs indésirables.

J'ai aussi remarqué que ces virus étaient détectés à chaque démarrage de l'ordinateur mais ils reviennent toujours même après la mise en quarantaine.

Dernière chose, j'ai aussi remarqué que mon processeur faisait des pics (25% 30%) régulièrement comme s'il travaillait or, je ne fais rien et la diode de la box clignotte régulièrement comme si je surfais mais là encore j'observe ça lorsque je ne fais rien !!!

Bizarre non ?

Merci encore !!
   
Répondre à Manéliz

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
geko, le dimanche 26 novembre 2006 à 14:55:09
bonjour Manéliz

moi aussi depui quelque temps je suis infecter par ce virus et je remarque les meme probleme que toi ( pub indesirable, mon processeur fait des pics, et il m affiche le message d erreur sistématiquement au demarage , mais le refait regulierement apres, et parfois il fait planter le demarrage de mon pc et je doit le rebouter ) donc si tu a trouver une solution avertis moi svp ce serai gentil merci d avance et j espere ke tu trouvera vite une solution parceque je sait a quel point c est ch*** a plus


geko
   
Répondre à geko

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
salwa, le dimanche 26 novembre 2006 à 15:06:33
telecharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport Copie/colle le sur le poste stp.

@++++
   
Répondre à salwa

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le dimanche 26 novembre 2006 à 15:19:11
Voici le rapport demandé :

SmitFraudFix v2.124

Rapport fait à 15:11:36,56, 26/11/2006
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Forum\SmitfraudFix\Smitf­raudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire


��»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»��»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»��»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
   
Répondre à Manéliz

16


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
salwa, le dimanche 26 novembre 2006 à 15:35:15
aparemement smitfraud n'a rien detecter on va essayé autre chose

Télécharge sur le Bureau.
VundoFix ttp://www.atribune.org/ccount/click.php?id=4

= Double-clic VundoFix.exe.
= Clic OK
=Attendre le redemarrage de Vundofix ( 1 à plusieurs minutes)
=Clic Scan for Vundo

=Puis clic Remove Vundo
= Puis yes
= Le Bureau disparaît un moment lors de la suppression des fichiers.
=Message shutdown
=clic OK
=Redémarrage auto
=copier/colle le rapport qui est dans C:\vundofix.txt suivi d'un log hijack :)

@++++
   
Répondre à salwa

17


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le dimanche 26 novembre 2006 à 15:53:15
Le premier rapport de Vundo :

VundoFix V6.2.11

Checking Java version...

Java version is 1.5.0.5

Java version is 1.5.0.6

Scan started at 15:39:14 26/11/2006

Listing files found while scanning....

C:\WINDOWS\system32\xbeeg.ini
C:\WINDOWS\system32\xbeeg.bak1
C:\WINDOWS\system32\xbeeg.bak2
C:\WINDOWS\system32\xbeeg.ini2
C:\WINDOWS\system32\xbeeg.tmp

Beginning removal...

Attempting to delete C:\WINDOWS\system32\geebx.dll
C:\WINDOWS\system32\geebx.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\xbeeg.ini
C:\WINDOWS\system32\xbeeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\xbeeg.bak1
C:\WINDOWS\system32\xbeeg.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\xbeeg.bak2
C:\WINDOWS\system32\xbeeg.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\xbeeg.ini2
C:\WINDOWS\system32\xbeeg.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\xbeeg.tmp
C:\WINDOWS\system32\xbeeg.tmp Has been deleted!

Performing Repairs to the registry.
Done!






Et celui de Hijack :

Logfile of HijackThis v1.99.1
Scan saved at 15:51:54, on 26/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\G DATA AntiVirusKit\AVK\AVKService.exe
C:\Program Files\G DATA AntiVirusKit\AVK\AVKWCtl.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\alg.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\G DATA AntiVirusKit\AVKTray\AVKTray.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Forum\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/...{SUB_PRD}&clcid={SUB_CLSID}&pver=­{SUB_PVER}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\G DATA AntiVirusKit\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT

cnx|PARAM


O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolba­rNotifier.exe
O4 - HKCU\..\Run: [Tsra] "C:\PROGRA~1\MBOLS~1\ati2evxx.exe" -vt yazb
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Documents and Settings\Compaq_Propriétaire\Bureau\Forum\Spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wl­scbase8460.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloade­r.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA AntiVirusKit\AVK\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA AntiVirusKit\AVK\AVKWCtl.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Voilà !

Ca s'annonce comment ?

Merci !
   
Répondre à Manéliz

18


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
salwa, le dimanche 26 novembre 2006 à 16:17:39
ca s'annonce plutot bine :) je pense que j'ai compris d'ou vien le probleme

ouvre hijack coche et fix cette cette ligne

O4 - HKCU\..\Run: [Tsra] "C:\PROGRA~1\MBOLS~1\ati2evxx.exe" -vt yazb

ensuite a l'aide de l'explorer va dans

lecteur c/ programe files cheche et supprime le dossier nomée mbols

et vide la corbeille :)

@+++
   
Répondre à salwa

19


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Manéliz, le dimanche 26 novembre 2006 à 16:32:21
Panique à bord !! Je ne trouve pas le dossier "mbols" dans le programme files !

En plus je dois m'absenter une semaine ; est ce que je peux te recontacter dès vendredi soir ?

Encore merci pour ton aide j'espère qu'on en viendra à bout

Bonne semaine