Trojan Adclicker-fc et Nsduo.dllRésolu/Fermé

Question

Bonjour,

J'ai McAfee qui me signale essayer de supprimer régulièrement le fichier Nsduo.dll, et s'en suit la fermeture de l'Explorateur Windows et IE.

Ci-après le rapport HiJack, merci par avance pour votre aide.

Logfile of HijackThis v1.99.1
Scan saved at 09:44:23, on 02/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL$ACT7\Binn\sqlservr.exe
C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SiteAdvisor\6021\SAService.exe
C:\WINDOWS\system32	gbstarter.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\TheGreenBow\TheGreenBow VPN	gbike.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\McAfee\Managed VirusScan\Agent\myagttry.exe
C:\Program Files\SiteAdvisor\6021\SiteAdv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PTM EDV-Systeme GmbH\Telephone Integration for MS CRM 3\CallInfo4CRM.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1apimgr.exe
C:\PROGRA~1\HEWLET~1\Shared\HPQTOA~1.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\PTM EDV-Systeme GmbH\WordMailMerge Client for MS CRM 3\WordMailMergeDataProvider.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32svp.exe
C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\pschelle\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6021\SiteAdv.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6021\SiteAdv.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [MVS Splash] C:\Program Files\McAfee\Managed VirusScan\Agent\Splash.exe
O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Program Files\McAfee\Managed VirusScan\Agent\myagttry.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Program Files\SiteAdvisor\6021\SiteAdv.exe
O4 - HKLM\..\Run: [APL] "C:\Program Files\ACT\ACT for Win 7\APL.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RDS\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RDS\RMClient\MplSetUp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Telephone Integration for MS CRM 3] "C:\Program Files\PTM EDV-Systeme GmbH\Telephone Integration for MS CRM 3\CallInfo4CRM.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: SwyxIt!.lnk = C:\Program Files\SwyxIt!\SwyxIt!.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WordMailMergeDataProvider.lnk = C:\Program Files\PTM EDV-Systeme GmbH\WordMailMerge Client for MS CRM 3\WordMailMergeDataProvider.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Numéro composé - C:\Program Files\SwyxIt!\IEDial.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: SwyxIt! Phone Dialer - {F8E553C6-4C00-11D3-80BC-00105A653379} - C:\Program Files\SwyxIt!\IEDial.htm
O9 - Extra 'Tools' menuitem: SwyxIt! Phone Dialer - {F8E553C6-4C00-11D3-80BC-00105A653379} - C:\Program Files\SwyxIt!\IEDial.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = officepartner.fr
O17 - HKLM\Software\..\Telephony: DomainName = officepartner.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = officepartner.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = officepartner.fr
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Program Files\McAfee\Managed VirusScan\Agent\MyRmProt4.5.0.464.dll
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\6021\SiteAdv.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: APSHook.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: OneCard - C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: msmhost - {85E7C7D0-B8E8-4A6B-B12B-819C3BC62DE7} - C:\WINDOWS\msmhost.dll
O21 - SSODL: msmdev - {BEFF7ED4-8A57-4BBA-AA65-97FBFA966820} - C:\WINDOWS\msmdev.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: McShield - McAfee, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe
O23 - Service: Service de protection contre les virus et les logiciels espions McAfee (myAgtSvc) - McAfee, Inc. - C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\6021\SAService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe
O23 - Service: TgbIke Starter (TgbIKE Starter) - Sistech - C:\WINDOWS\system32	gbstarter.exe

vorrtex · Answer

telecharge spyware terminator ( freeware ) efficace

turboscript · Answer

telecharges le fix à cette adresse :
https://www.mcafee.com/enterprise/en-us/error-pages/404.html
et regardes les instructions à celle-ci :
http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.aspx
si tu piges que dalle, je te conseilles de passer à un antivirus en français comme avast au moins tu auras le support en français

pschelle · Answer

Voici la réponse après le lancement de SuperDat de McAfee :

02/10/2007	10:06		pschelle	PCSCHELLE	Extraction du fichier .Zip à partir du fichier Stub, C:\Documents and Settings\pschelle\Mes documents\xdat\5131xdat.exe.
02/10/2007	10:06		pschelle	PCSCHELLE	Auto-validation en cours ...
02/10/2007	10:06		pschelle	PCSCHELLE	Extraction du fichier NAISCRIP.NSC à partir du fichier compressé.
02/10/2007	10:06		pschelle	PCSCHELLE	Chargement et analyse syntaxique du fichier script : C:\DOCUME~1\pschelle\LOCALS~1\Temp\260D\NAISCRIP.NSC
02/10/2007	10:06		pschelle	PCSCHELLE	Extraction du fichier Globals.nsg à partir du fichier compressé.
02/10/2007	10:06		pschelle	PCSCHELLE	Chargement et analyse syntaxique du fichier global : Globals.nsg
02/10/2007	10:06		pschelle	PCSCHELLE	Recherche de tous les produits antivirus installés.
02/10/2007	10:06		pschelle	PCSCHELLE	Suppression...C:\DOCUME~1\pschelle\LOCALS~1\Temp\NAI108.tmp
02/10/2007	10:06		pschelle	PCSCHELLE	Suppression...C:\DOCUME~1\pschelle\LOCALS~1\Temp\260D
02/10/2007	10:06		pschelle	PCSCHELLE	Erreur: Aucun produit McAfee ne répond aux critères.
02/10/2007	10:06		pschelle	PCSCHELLE	Le processus de mise à jour a échoué.

turboscript · Answer

est-ce que tu as desactiver la restauration système ? (panneau de configuration (affichage standard des options) --> système --> restauration système --> desactiver).
Quelle version de McAfee as tu , est -t elle à jour ?
Si ça ne marches tjs pas essayes de suivre la réponse de vorrtex ou de passer à avast, ça sera déjà plus simple pour toi, tu peux le trouver à cette adresse :
www.avast.com/index_fre.html

pschelle · Answer

- Oui la restauration du système est désactivée,
- McAfee Total Protection for Small Business version 4.5.0.464, mise à jour aujourd'hui
- Serveur de Spyware Terminator inaccessible !!!

turboscript · Answer

le fix que tu as telecharger etait pour la version large entreprise, désolé mais je ne savait pas quelle version tu avais, essayes plutot avec ce lien qui correspond à ta version small :
https://www.mcafee.com/enterprise/en-us/downloads/security-updates.html?region=us

pschelle · Answer

Non, s'était déjà le bon lien (Small Business) que tu m'avais donné : toujours même erreur de SuperDat

turboscript · Answer

non ce n'etait pas le bon lien, retelcharges le bon STP

pschelle · Answer

Ok, j'ai chargé le zip cette fois ci.
En revanche, y a t'il une manière particulière d'exécuter le programme Validate (brève apparition d'une fenêtre Dos et c'est tout) ?

turboscript · Answer

je ne pense pas, il suffit de desactiver la restauration système, c'est même impératif sinon le virus s'archiveras dans une restauration et se reinstallera automatiquement.

pschelle · Answer

Toujours le même log :

02/10/2007	12:08		pschelle	PCSCHELLE	Extraction du fichier .Zip à partir du fichier Stub, C:\Documents and Settings\pschelle\Mes documents\xdat\dat-5131\5131xdat.exe.
02/10/2007	12:08		pschelle	PCSCHELLE	Auto-validation en cours ...
02/10/2007	12:08		pschelle	PCSCHELLE	Extraction du fichier NAISCRIP.NSC à partir du fichier compressé.
02/10/2007	12:08		pschelle	PCSCHELLE	Chargement et analyse syntaxique du fichier script : C:\DOCUME~1\pschelle\LOCALS~1\Temp\38E\NAISCRIP.NSC
02/10/2007	12:08		pschelle	PCSCHELLE	Extraction du fichier Globals.nsg à partir du fichier compressé.
02/10/2007	12:08		pschelle	PCSCHELLE	Chargement et analyse syntaxique du fichier global : Globals.nsg
02/10/2007	12:08		pschelle	PCSCHELLE	Recherche de tous les produits antivirus installés.
02/10/2007	12:08		pschelle	PCSCHELLE	Suppression...C:\DOCUME~1\pschelle\LOCALS~1\Temp\NAI166.tmp
02/10/2007	12:08		pschelle	PCSCHELLE	Suppression...C:\DOCUME~1\pschelle\LOCALS~1\Temp\38E
02/10/2007	12:08		pschelle	PCSCHELLE	Erreur: Aucun produit McAfee ne répond aux critères.
02/10/2007	12:08		pschelle	PCSCHELLE	Le processus de mise à jour a échoué.

turboscript · Answer

cette ligne :
02/10/2007 12:08 pschelle PCSCHELLE Erreur: Aucun produit McAfee ne répond aux critères. 
veut dire que tu n'as pas telecharger le bon fichier vas sur le site de macafee : www.McAfeeSecurity.com
et cherchers le bon fichier dans la section  support de la version small

pschelle · Answer

Je retombe bien sur les fichiers que tu m'avais indiqué via le lien, et toujours la même erreur de version pour McAfee !!!

turboscript · Answer

je te conseillerais de passer à un autre antivirus, par exemple avast, du moins pour l'instant. tu desinstalles macaffee et essayes avast

pschelle · Answer

J'ai installé Avast, il a detecté lors du boot un fichier incriminé dans un Codec Vidéo récement installé.

j'ai supprimé l'appli mais malgré tout (et comme le faisait McAfee) il détecte NsDuo.dll toute les 5mn, le suprime...et ainsi de suite.

turboscript · Answer

desactives la restauration système qui permet à ce virus de se resinstaller

turboscript · Answer

je suis mort de fatigue, je reviens tout à l'heure
A+

pschelle · Answer

Elle est désactivée.

Bon app...

pschelle · Answer

J'ai réussi à charger Spyware Terminator, à part les habituels cookies il ne trouve rien de louche. Voici le rapport : Logfile of Spyware Terminator v2.0.0.194 (db:1.0.902.662) Scan Time: 02/10/2007 13:56:12 length: 3087 s Platform: Windows XP Service Pack 2 (WINNT 5.1.2600) User: Limited Boot Mode: Normal Scan type: Full_Spyware_Scan Scanned Objects: 109503 (Critical:1) Filter: No System items, No Safe items, No Invalid items Running Processes btwdins.exe [Broadcom Corporation.] : C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe iviRegMgr.exe [InterVideo] : C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe LSSrvc.exe [Hewlett-Packard Company] : C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe mdm.exe [Microsoft Corporation] : C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe sqlservr.exe [Microsoft Corporation] : C:\Program Files\Microsoft SQL Server\MSSQL$ACT7\Binn\sqlservr.exe myAgtSvc.exe [McAfee, Inc.] : C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe pdfsvc.exe [PDF Complete Inc] : C:\Program Files\PDF Complete\pdfsvc.exe SAService.exe [McAfee, Inc.] : C:\Program Files\SiteAdvisor\6021\SAService.exe tgbstarter.exe [Sistech] : C:\WINDOWS\system32 gbstarter.exe tgbike.exe [TheGreenBow] : C:\Program Files\TheGreenBow\TheGreenBow VPN gbike.exe hpqwmiex.exe [Hewlett-Packard Development Company, L.P.] : C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe asghost.exe [Cognizance Corporation] : C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe smax4pnp.exe [Analog Devices, Inc.] : C:\Program Files\Analog Devices\Core\smax4pnp.exe pdfsty.exe [PDF Complete Inc] : C:\Program Files\PDF Complete\pdfsty.exe PTHOSTTR.EXE [Hewlett-Packard Development Company, L.P.] : C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE igfxsrvc.exe [Intel Corporation] : C:\WINDOWS\system32\igfxsrvc.exe HPWAMain.exe [Hewlett-Packard Development Company, L.P.] : C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe McShield.exe [McAfee, Inc.] : C:\Program Files\McAfee\Managed VirusScan\VScan\McShield.exe QlbCtrl.exe [Hewlett-Packard Development Company, L.P.] : C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe Scheduler.exe : C:\WINDOWS\SMINST\Scheduler.exe HPWuSchd2.exe [Hewlett-Packard Co.] : C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe GrooveMonitor.exe [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe myagttry.exe [McAfee, Inc.] : C:\Program Files\McAfee\Managed VirusScan\Agent\myagttry.exe SiteAdv.exe [McAfee, Inc.] : C:\Program Files\SiteAdvisor\6021\SiteAdv.exe CallInfo4CRM.exe [www.mscrm-addons.com] : C:\Program Files\PTM EDV-Systeme GmbH\Telephone Integration for MS CRM 3\CallInfo4CRM.exe rapimgr.exe [Microsoft Corporation] : C:\Program Files\Microsoft ActiveSync apimgr.exe HpqToaster.exe : C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe BTTray.exe [Broadcom Corporation.] : C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe SwyxIt!.exe [Swyx Solutions] : C:\Program Files\SwyxIt!\SwyxIt!.exe WordMailMergeDataProvider.exe [PTM EDV Systeme GmbH] : C:\Program Files\PTM EDV-Systeme GmbH\WordMailMerge Client for MS CRM 3\WordMailMergeDataProvider.exe CLMgr.exe [Swyx Solutions] : C:\Program Files\SwyxIt!\CLMgr.exe ClCache.exe [Swyx Solutions] : C:\Program Files\Fichiers communs\Swyx\ClCache.exe ODialer.exe [Swyx Solutions] : C:\Program Files\SwyxIt!\ODialer.exe OUTLOOK.EXE [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE Internet Settings R - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page = https://www.msn.com/fr-fr/?ocid=iehp R - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm R - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm R - HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, Domain = officepartner.fr R - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony, DomainName = officepartner.fr BHO 02 - BHO: - {089FD14D-132B-48FC-8861-0048AE113215} - [McAfee, Inc.] : C:\Program Files\SiteAdvisor\6021\SiteAdv.dll 02 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll 02 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - [Bioscrypt Inc.] : C:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll Toolbars 03 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - [McAfee, Inc.] : C:\Program Files\SiteAdvisor\6021\SiteAdv.dll StartUps 04 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Telephone Integration for MS CRM 3 : [www.mscrm-addons.com] : C:\Program Files\PTM EDV-Systeme GmbH\Telephone Integration for MS CRM 3\CallInfo4CRM.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SoundMAXPnP : [Analog Devices, Inc.] : C:\Program Files\Analog Devices\Core\smax4pnp.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PDF Complete : [PDF Complete Inc] : C:\Program Files\PDF Complete\pdfsty.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PTHOSTTR : [Hewlett-Packard Development Company, L.P.] : C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, hpWirelessAssistant : [Hewlett-Packard Development Company, L.P.] : C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, QlbCtrl : [Hewlett-Packard Development Company, L.P.] : C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CognizanceTS : [Cognizance Corporation] : C:\Program Files\Hewlett-Packard\IAM\Bin\ASTSVCC.dll 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Reminder : : C:\WINDOWS\Creator\Remind_XP.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Scheduler : : C:\WINDOWS\SMINST\Scheduler.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, HP Software Update : [Hewlett-Packard Co.] : C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Cpqset : : C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WatchDog : [InterVideo Inc.] : C:\Program Files\InterVideo\DVD Check\DVDCheck.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, GrooveMonitor : [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MVS Splash : [McAfee, Inc.] : C:\Program Files\McAfee\Managed VirusScan\Agent\Splash.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, McAfee Managed Services Tray : [McAfee, Inc.] : C:\Program Files\McAfee\Managed VirusScan\Agent\myagttry.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SiteAdvisor : [McAfee, Inc.] : C:\Program Files\SiteAdvisor\6021\SiteAdv.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, APL : [Best Software] : C:\Program Files\ACT\ACT FOR WIN 7\APL.EXE 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, JobHisInit : : C:\Program Files\RDS\RMClient\JobHisInit.exe 04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MplSetUp : [RICOH CO.,LTD.] : C:\Program Files\RDS\RMClient\MplSetUp.exe 04 - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs : [Bioscrypt Inc.] : C:\WINDOWS\system32\APSHook.dll 04 - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, GinaDLL : [Cognizance Corporation] : C:\Program Files\Hewlett-Packard\IAM\bin\ocgina.dll 04 - Startup: %START_PROGRAMS%\Démarrage\OneNote 2007 - Capture d'écran et lancement.lnk [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE 04 - Startup: %START_PROGRAMSALL%\Démarrage\BTTray.lnk [Broadcom Corporation.] : C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe 04 - Startup: %START_PROGRAMSALL%\Démarrage\DVD Check.lnk [InterVideo Inc.] : C:\Program Files\InterVideo\DVD Check\DVDCheck.exe 04 - Startup: %START_PROGRAMSALL%\Démarrage\SwyxIt!.lnk [Swyx Solutions] : C:\Program Files\SwyxIt!\SwyxIt!.exe 04 - Startup: %START_PROGRAMSALL%\Démarrage\WordMailMergeDataProvider.lnk [PTM EDV Systeme GmbH] : C:\Program Files\PTM EDV-Systeme GmbH\WordMailMerge Client for MS CRM 3\WordMailMergeDataProvider.exe Shell Extensions - {2F603045-309F-11CF-9774-0020AFD0CFF6} - [Synaptics, Inc.] : C:\Program Files\Synaptics\SynTP\SynTPCpl.dll SampleView - {7F67036B-66F1-411A-AD85-759FB9C5B0DB} - [XSS] : C:\WINDOWS\system32\ShellvRTF.dll Favoris Bluetooth - {6af09ec9-b429-11d4-a1fb-0090960218cb} - [Broadcom Corporation.] : C:\WINDOWS\system32\btneighborhood.dll Monitor Class - {7842554E-6BED-11D2-8CDB-B05550C10000} - [Broadcom Corporation.] : C:\WINDOWS\system32\btncopy.dll Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove Folder Synchronization - {2A541AE1-5BF6-4665-A8A3-CFA9672E4291} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove GFS Stub Icon Handler - {A449600E-1DC6-4232-B948-9BD794D62056} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove GFS Context Menu Handler - {6C467336-8281-4E60-8204-430CED96822D} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove XML Icon Handler - {387E725D-DC16-4D76-B310-2C93ED4752A0} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove Explorer Icon Overlay 3 (GFS Folder) - {16F3DD56-1AF5-4347-846D-7C10C4192619} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove Explorer Icon Overlay 2 (GFS Stub) - {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove Explorer Icon Overlay 4 (GFS Unread Mark) - {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove Explorer Icon Overlay 1 (GFS Unread Stub) - {99FD978C-D287-4F50-827F-B2C658EDA8E7} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Groove Explorer Icon Overlay 2.5 (GFS Unread Folder) - {920E6DB1-9907-4370-B3A0-BAFC03D81399} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll Outlook File Icon Extension - {0006F045-0000-0000-C000-000000000046} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\OLKFSTUB.DLL Microsoft Office Outlook - {00020D75-0000-0000-C000-000000000046} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\MLSHEXT.DLL Microsoft Office OneNote Namespace Extension for Windows Desktop Search - {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\ONFILTER.DLL - {42042206-2D85-11D3-8CFF-005004838597} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\msohevi.dll Microsoft Office Metadata Handler - {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} - [Microsoft Corporation] : C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\msoshext.dll Microsoft Office Thumbnail Handler - {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} - [Microsoft Corporation] : C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\msoshext.dll Appareil mobile - {49BF5420-FA7F-11cf-8011-00A0C90A8F78} - [Microsoft Corporation] : C:\Program Files\Microsoft ActiveSync\Wcesview.dll Shell Service Objects - {msmhost} - : C:\WINDOWS\msmhost.dll Protocol Filters Microsoft Office InfoPath XML Mime Filter - {807563E5-5146-11D5-A672-00B0D022E945} - [Microsoft Corporation] : C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLMF.DLL Protocol Handler Local Groove Web Services Protocol - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - [Microsoft Corporation] : C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll HxProtocol Class - {314111c7-a502-11d2-bbca-00c04f8ec294} - [Microsoft Corporation] : C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll MyRmProtocol Class - {4D034FC3-013F-4b95-B544-44D49ABE3E76} - [McAfee, Inc.] : C:\Program Files\McAfee\Managed VirusScan\Agent\MyRmProt4.5.0.464.dll - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - [McAfee, Inc.] : C:\Program Files\SiteAdvisor\6021\SiteAdv.dll Services 23 - [Hewlett-Packard Corporation] : C:\WINDOWS\system32\DRIVERS\Accelerometer.sys 23 - [Analog Devices, Inc.] : C:\WINDOWS\system32\drivers\ADIHdAud.sys 23 - [Andrea Electronics Corporation] : C:\WINDOWS\system32\drivers\AEAudio.sys 23 - [Agere Systems] : C:\WINDOWS\system32\DRIVERS\AGRSM.sys 23 - [AuthenTec, Inc.] : C:\WINDOWS\system32\DRIVERS\ATSwpDrv.sys 23 - [Broadcom Corporation] : C:\WINDOWS\system32\DRIVERS\b57xp32.sys 23 - [Broadcom Corporation.] : C:\WINDOWS\system32\drivers\btaudio.sys 23 - [Broadcom Corporation.] : C:\WINDOWS\system32\DRIVERS\btport.sys 23 - [Broadcom Corporation.] : C:\WINDOWS\system32\DRIVERS\btkrnl.sys 23 - [Broadcom Corporation.] : C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe 23 - [Hewlett-Packard Development Company, L.P.] : C:\WINDOWS\system32\DRIVERS\eabfiltr.sys 23 - [Hewlett-Packard Development Company, L.P.] : C:\WINDOWS\system32\DRIVERS\cpqbttn.sys 23 - [Hewlett-Packard Corporation] : C:\WINDOWS\system32\DRIVERS\hpdskflt.sys 23 - [Hewlett-Packard Development Company, L.P.] : C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe 23 - [Intel Corporation] : C:\WINDOWS\system32\DRIVERS\igxpmp32.sys 23 - [Intel Corporation] : C:\WINDOWS\system32\DRIVERS\iaStor.sys 23 - [Infineon Technologies AG] : C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS 23 - [InterVideo] : C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe 23 - [Hewlett-Packard Company] : C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 23 - [McAfee, Inc.] : C:\Program Files\McAfee\Managed VirusScan\VScan\McShield.exe 23 - [Microsoft Corporation] : C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe 23 - [McAfee, Inc.] : C:\WINDOWS\system32\drivers\MfeAVFK.sys 23 - [McAfee, Inc.] : C:\WINDOWS\system32\drivers\MfeBOPK.sys 23 - [McAfee, Inc.] : C:\WINDOWS\system32\drivers\mfehidk.sys 23 - [McAfee, Inc.] : C:\WINDOWS\system32\drivers\mfetdik.sys 23 - [Microsoft Corporation] : C:\Program Files\Microsoft SQL Server\MSSQL$ACT7\Binn\sqlservr.exe 23 - [McAfee, Inc.] : C:\Program Files\McAfee\Managed VirusScan\Agent\myAgtSvc.exe 23 - [Intel Corporation] : C:\WINDOWS\system32\DRIVERS\NETw4x32.sys 23 - [PDF Complete Inc] : C:\Program Files\PDF Complete\pdfsvc.exe 23 - [McAfee, Inc.] : C:\Program Files\SiteAdvisor\6021\SAService.exe 23 - [Synaptics, Inc.] : C:\WINDOWS\system32\DRIVERS\SynTP.sys 23 - [Sistech] : C:\WINDOWS\system32 gbstarter.exe 23 - [Sistech S.A. / TheGreenBow] : C:\WINDOWS\system32\Drivers gbvpn.sys Winlogon Notify HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui, DLLName : [Intel Corporation] : C:\WINDOWS\system32\igfxdev.dll HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\OneCard, DLLName : [Cognizance Corporation] : C:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll Thread Files : C:\72de9f28e836e02b8d13e6 iprep.exe : C:\72de9f28e836e02b8d13e6\opk ools\x86\sysprep.exe

tahtouch · Answer

Bonjour, 
J'ai le même problème, est ce que quelqu'un pourra m'aider ??

pschelle · Answer

Mon problème est résolu :

J'ai trouvé ici : http://www.infos-du-net.com/forum/273116-11-looksky un cas exactement similaire au mien et après en avoir suivi la procédure j'ai pu me débarrasser de la sale bête.

Merci à tous.

turboscript · Answer

AdClicker-FC redirects links or entered URLs for certain domains. After installation, the BHO silently contacts nameservicedirect.com at the next launch of Internet Explorer to retrieve a list of domains which will be redirected.
extraits  : https://www.mcafee.com/enterprise/fr-fr/threat-center.html
En clair, c'est internet explorer qui est visé, tu l'utilises pas, le virus ne pourra rien faire, donc pas de windows update pour l'instant.

donc avec firefox, pas de problème !!!

DAT Required:  	5013, en clair, ce n'est pas le Super DAT qu'il te faut mais plutôt le DAT (definition des virus de telle date) pour ta version Small Businness. ici : https://www.mcafee.com/enterprise/en-us/error-pages/404.html

il ne faut pas oublier de désactiver la restauration du système. et ensuite lancer le fichier, enfin faire une analyse avec l'antivirus mis à jour.

Trojan Adclicker-fc et Nsduo.dll

22 réponses

Discussions similaires

Newsletters