Win 32:Agent-LAP[trj] + Adware-gen [Adw]Résolu/Fermé

Question

Bonjour,
Et Bien Rame rame, rameur rameur ce Pc :p  rien ne va plus. deja ke cpas une machine de compet habituellement mais la :(
Compte sur vous les gars pour m'aider a me sortir de la
Historique:
Scan Avast
Scan Spybot at adware
Essai de SmitfraudFix
Essai de VundoFix
Essai de Cumbo fix

Voici le rapport hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:19, on 25/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WLAN Technology Corporation\802.11g_Utility\ZDWlan.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adsense Helper Object - {18FA53D3-B7A8-4309-8045-D43D6AA2DCE9} - C:\Program Files\Adsense Helper Object\aho.v4.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\FICHIE~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKLM\..\Run: [941a4318] rundll32.exe "C:\WINDOWS\system32\ricffnne.dll",b
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Udot] "C:\WINDOWS\APPATC~1\dllhost.exe" -vt yazb
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: 802.11g WLan Utility.lnk = C:\Program Files\WLAN Technology Corporation\802.11g_Utility\ZDWlan.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

jlpjlp · Answer

slt,


fix ces lignes avec hijackthis:

O2 - BHO: Adsense Helper Object - {18FA53D3-B7A8-4309-8045-D43D6AA2DCE9} - C:\Program Files\Adsense Helper Object\aho.v4.dll 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

_______________________


télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 


C:\Program Files\Adsense Helper Object\aho.v4.dll 


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 



_________________



Vas sur le site https://virusscan.jotti.org/       ou sur virustotal
- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier :


C:\WINDOWS\system32\ricffnne.dll

- Clic sur submit toujours en haut à droite 
- Le scan va se lancer, ça va prendre un petit instant 
- En bas, tu as le résultat du scan, copie/colle le résultat complet du scan ici. 
Aide : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId662799 


fais de meme avec :

C:\WINDOWS\APPATC~1\dllhost.exe



__________________________



utilise  pour supprimer tes traces 

CCLEANER: (lance un nettoyage et répare 3 fois les erreurs) sans installer la barre yahoo 

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

___________________________

a plus

Rachrao1 · Answer

Merci a toi Jlpjlp ...a charge de revanche on sait jamais  ;)

J'ai dabord lancer un Hijackthis et cocher les lignes

Puis  voici le rapport OTMoveit

File/Folder C:\Program Files\Adsense Helper Object\aho.v4.dll not found.
 
Created on 10/27/2007 21:06:01 ------> Sans doute effacé par le fix de hijackthis ^^


Virus total Rapport sur fichierC:\WINDOWS\system32\ricffnne.dll

Fichier ricffnne.dll reçu le 2007.10.27 21:12:23 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/32 (12.5%)
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2007.10.27.0	2007.10.26	-
AntiVir	7.6.0.30	2007.10.26	-
Authentium	4.93.8	2007.10.26	-
Avast	4.7.1074.0	2007.10.27	-
AVG	7.5.0.503	2007.10.27	Obfustat.ULV
BitDefender	7.2	2007.10.27	-
CAT-QuickHeal	9.00	2007.10.26	-
ClamAV	0.91.2	2007.10.27	-
DrWeb	4.44.0.09170	2007.10.27	-
eSafe	7.0.15.0	2007.10.22	-
eTrust-Vet	31.2.5244	2007.10.26	-
Ewido	4.0	2007.10.27	-
FileAdvisor	1	2007.10.27	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.26	-
F-Secure	6.70.13030.0	2007.10.26	-
Ikarus	T3.1.1.12	2007.10.27	-
Kaspersky	7.0.0.125	2007.10.27	-
McAfee	5150	2007.10.26	-
Microsoft	1.2908	2007.10.27	-
NOD32v2	2620	2007.10.27	-
Norman	5.80.02	2007.10.26	-
Panda	9.0.0.4	2007.10.27	Suspicious file
Prevx1	V2	2007.10.27	Trojan.Vundo
Rising	19.46.51.00	2007.10.27	-
Sophos	4.23.0	2007.10.27	-
Sunbelt	2.2.907.0	2007.10.27	-
Symantec	10	2007.10.27	-
TheHacker	6.2.9.110	2007.10.27	-
VBA32	3.12.2.4	2007.10.26	-
VirusBuster	4.3.26:9	2007.10.27	-
Webwasher-Gateway	6.6.1	2007.10.27	Win32.Malware.gen (suspicious)
Information additionnelle
File size: 84544 bytes
MD5: 1e96c0dc2c80182bed2efce09ae416a3
SHA1: 834d09bf12bedadf1b561ce3f1266a03b8931674
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=F0DBDC52407C5D8D4AD4014B29491F0007BB5B9C

Pour le Rapport de C:\WINDOWS\APPATC~1\dllhost.exe  : Fichier Introuvable



Voila Je m'en vais lancer un CClean maintenant....

jlpjlp · Answer

fix ces lignes avec hijackthis:


O4 - HKLM\..\Run: [941a4318] rundll32.exe "C:\WINDOWS\system32\ricffnne.dll",b

O4 - HKCU\..\Run: [Udot] "C:\WINDOWS\APPATC~1\dllhost.exe" -vt yazb 



télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :


C:\WINDOWS\system32\ricffnne.dll

C:\WINDOWS\APPATC~1\dllhost.exe


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

_________________________

AVG antispyware

https://www.01net.com/telecharger/

Tuto : 
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


->Relance AVG AS -> "Analyse" ->"Paramètres" 

Sous la question "Comment réagir ?" : 

-> clique sur "Actions recommandées" et choisis "Quarantaines" 
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système" 

Si un fichier est infecté en fin d'analyse 

->Clique sur "Appliquer toutes les actions " 

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous". 

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport 


________________________

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 

____

Rachrao1 · Answer

Bjr jlpjlp,
Ai fais ce que tu a demandé:

Analyse et Fix Hijackthis
OtMoveit, dont voici le rapport:

DllUnregisterServer procedure not found in C:\WINDOWS\system32\ricffnne.dll
C:\WINDOWS\system32\ricffnne.dll NOT unregistered.
C:\WINDOWS\system32\ricffnne.dll moved successfully.
File/Folder C:\WINDOWS\APPATC~1\dllhost.exe not found.
 
Created on 10/27/2007 22:43:47

Par contre, Ne devrais je pas desinstaller avast avt de telecharger AVG??? en attente de ta reponse pour continuer les directives et utiliser AL MAFIOSO

Merci encore

jlpjlp · Answer

non continue,
avast est un antivurs
avg que je te fais mettre n'est pas avg antivirus  mais avg antispyware (espion)
donc pas de pb

Rachrao1 · Answer

Voici les resultats

Rapport Avg antispyware:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	02:31:04 28/10/2007

 + Résultat de l'analyse:	



C:\System Volume Information\_restore{BFCD03FD-0803-45D0-BC00-EB54FE6BDBF1}\RP148\A0174696.exe -> Downloader.Alphabet.aa : Nettoyé.
C:\System Volume Information\_restore{BFCD03FD-0803-45D0-BC00-EB54FE6BDBF1}\RP152\A0178085.exe -> Downloader.Alphabet.aa : Nettoyé.
C:\System Volume Information\_restore{BFCD03FD-0803-45D0-BC00-EB54FE6BDBF1}\RP151\A0177920.exe -> Heuristic.Win32.AVKiller : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@atdmt[3].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.
C:\System Volume Information\_restore{BFCD03FD-0803-45D0-BC00-EB54FE6BDBF1}\RP148\A0174695.exe -> Worm.Small.n : Nettoyé.
C:\System Volume Information\_restore{BFCD03FD-0803-45D0-BC00-EB54FE6BDBF1}\RP152\A0178083.exe -> Worm.Small.n : Nettoyé.


Fin du rapport

Rapport NaviLog1:

Search Navipromo version 3.3.2 commencé le 28/10/2007 à  2:40:14,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 22.10.2007 à 19h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Propriétaire\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\PROPRI~1\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\PROPRI~1\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 28/10/2007 à  2:41:50,17 ***

Voila je pense qu'on peux dire que c bon qu'est ten pense ???

Merci pour tout en tout cas
C'etait vraiment sympa de suivre tes recommandations

jlpjlp · Answer

pour ca:

Rapport Avg antispyware:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 02:31:04 28/10/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{BFCD03FD-0803-45D0-BC00-EB54FE6BDBF1}\RP148\A0174696.exe -> Downloader.Alphabet.aa : Nettoyé.
C:\System Volume Information\_restore{BFCD03FD-0803-45D0-BC00-EB54FE6BDBF1}\RP152\A0178085.exe -> Downloader.Alphabet.aa : Nettoyé.
C:\System Volume Information\_restore{BF


désactive la restauration système pour purger les virus qui seraient dedans (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)

redemarre ton ordi

 puis réactive là







________________________

pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français   ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions:

AD AWARE + SPYBOT +     WINDOWS DEFENDER ou SPYWARE TERMINATOR

+/-
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...


--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------

CCLEANER pour effacer les traces de surf

Rachrao1 · Answer

Merci pour tout jlpjlp

Tout semble rentrer dans l'ordre... en tout cas au niv des virus :D :D
Petits ralentissement au demarrage mais ej finirais bien par trouver pk..

Ct le dernier episode de la Saison 2....rdv a la prochaine saison (j'espere pas de si tot :^^)

RESTEZ FRAIS

jlpjlp · Answer

pour accelerer ton demarrage:
fais DEMARRER puis EXECUTEr et tape    msconfig    ensuite dans l'onglet  demarrer decoche ce que tu ne veux pas au demarrage
puis redemarre et accepte le message qui s'affiche au prochain demarrage

a plus

Win 32:Agent-LAP[trj] + Adware-gen [Adw]

9 réponses

Discussions similaires

Newsletters