Rechercher : dans
Par :

Probleme avec un virus/spam .dll

Dernière réponse le 3 déc 2007 à 12:16:44 chaine nebulaire, le 1 déc 2007 à 18:47:03 
 Signaler ce message aux modérateurs

Bonjour,

Voila mon probleme est que depuis quelques jours j'ai remarqué un fichier .dll suspect je l'ai analysé.

AVG me dit que c'est un virus "virus identified Obfustat.ZRP" C:\WINDOWS\System32\dxtran.dll

et Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:19, on 01/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {A467108A-344D-4152-951C-25F351E0C4BB} - C:\WINDOWS\System32\dxtran.dll
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D28CD09-7168-4CFF-A483-3BB0722E22C6}: NameServer = 84.103.237.146 86.64.145.146
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
End of file - 1705 bytes

Ce virus ralentit ma vitesse de connexion et va même jusqu'à me la bloquer

J'ai deja essayer plusieurs façon pour le supprimer mais il est toujours là (mode sans echec, suppression manuelle ou automatique... rien ne marche)

Merci de m'expliquer comment me débarrasser de cette chose!!!!!!!

Configuration: Windows XP
Firefox 2.0.0.11

1

Expert1, le 1 déc 2007 à 21:11:24

1. Desactiver le restauration du systeme
2. Afficher les fichiers et dossiers masqués
3. Ce debarrasser des fichiers temporaires avec Cleanup40
4. Nettoyer ta base de registre avec Regseeker
( http://www.01net.com/telecharger/windows/Utilitaire/systeme/­fiches/29399.html )
5. Faire un scan avec ton anti-virus et tes logiciels anti-spyware (spybot, a²free , ad-aware , ect.. )
6. En profiter pour faire un scan anti-virus en ligne
- http://www.bitdefender.fr
7. Puis faire ce scan en ligne anti-spyware
- http://www.trendmicro.com/spyware-scan/
8. Faire un scan avec Hijack colle le rapport sur le forum pour une verification si tu ne comprends rien avec les lignes.
9. Si ton rapport est correct, reactiver la restauration du systeme, puis recacher les fichiers.
10. le mode sans echec utilise le, si tu as un fichier persistant detecté par spybot ou autre.

Répondre à Expert1

3

Lyonnais92, le 2 déc 2007 à 13:53:05

Pour suivre
@+
N'acceptez jamais une désinfection par mp.

Répondre à Lyonnais92

2

chaine nebulaire, le 1 déc 2007 à 21:55:49

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:52:19, on 01/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {A467108A-344D-4152-951C-25F351E0C4BB} - C:\WINDOWS\System32\dxtran.dll
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D28CD09-7168-4CFF-A483-3­BB0722E22C6}: NameServer = 86.64.145.148 84.103.237.148
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
End of file - 1739 bytes

Je ne suis pas une novice en la matiere :) je me suis rendue compte que ce sale truc c'est fusionner avec un .exe du system car quoi que je face je n'arrive pas à le supprimer que ça soit en mode sans echec ou autre.

Si une personne c'est comment supprimer des fichiers avant que windows ne "s'allume" pourrait'il/elle me dire comment faire :D

MERCI

Répondre à chaine nebulaire

4

chaine nebulaire, le 2 déc 2007 à 19:01:01

J'ai supprimé le fichier .dll mais la clé dans regedit y est toujours. Ma connexion est lente c'est vraiment ...

donc le rapport de hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:20, on 02/12/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {A467108A-344D-4152-951C-25F351E0C4BB} - C:\WINDOWS\System32\dxtran.dll (file missing)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S5D.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D28CD09-7168-4CFF-A483-3BB0722E22C6}: NameServer = 86.64.145.143 84.103.237.143
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
End of file - 2065 bytes

SVP de l'aide

Répondre à chaine nebulaire

5

titelise, le 2 déc 2007 à 20:26:26

Slt je croi que je sui victime dun akeur je navigue avec firefox pourtan des page souvre toute seul mon pc redemare tou seul il rame pourtan spybot et avast ne trouve rien il marive oci de voir mon id et mdp disparaitre avan qjai u lten dme conécté svp aider moi je ne sai pas comment faire pour men débarasser

Répondre à titelise

6

 chaine nebulaire, le 3 déc 2007 à 12:16:44

J'ai formater entierement mon ordi

Simple rapide

PLUS DE TRACE

Répondre à chaine nebulaire
Collection CommentÇaMarche.net