Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

AIDE : Virus Dll System32

Dernière réponse le 6 jun 2008 à 11:19:57 Nabuchodonozor, le 5 jun 2008 à 15:32:23

Signaler ce message aux modérateurs

Bonjour,

Voici mon probleme. Je ne sais par quel biais un virus plutot coriace a pris place sur mon PC. J'ai effectué plusieurs Scan avec des antivirus en ligne différents (Housecall, BitDefender, Panda ActiveScan) et certains me trouvaient des infections (trojan fréquemment) que d'autres n'avaient pas décelé. En plus de ça j'ai du avoir recour à des utilitaires spécifiques pour déverroler ma machine, comme SmitFraudFix, MsnFix, VundoFix (au cas où, mais sans utilité) et Elibagla.

Je pensais avoir entierement purgé le PC quand je m'aperçu que des pages Internet intempestives s'ouvraient aléatoirement. De plus, un Scan Hijackthis dénote la présence d'une dll (rundll32.exe) en "C:\Windows\System32\vqwvcakb.dll"

Naturellement, impossible de supprimer cette dll à partir du répertoire, le fichier est en perpétuelle utilisation, et aucun antivirus ne le détecte.

En espérant que ce soit clair et en attente de réponse rapide ^^

Merci

Configuration: Windows XP
Internet Explorer 6.0

Meilleures réponses pour « AIDE : Virus Dll System32 » dans :

<racine windows> \ system 32\ hal.dll (Résolu) Voir

Windows xp fenetre system 32 au demarrage (Résolu) Voir

C : \windows\system 32 Voir

[Virus] System Volume Information VoirSommaire Explications Exemple Supprimer un virus logé dans le dossier System Volume Information sous Windows XP Informations supplémentaires Explications Le dossier System Volume Information est utilisé par Windows XP pour...

[Windows] Erreur de chargement RunDLL (rundll32.exe) Voir

[Windows] HAL.DLL manquant ou corrompu VoirVous ne pouvez plus entrer sous Windows à cause de l'erreur suivante : HAL.DLL manquant ou corrompu Windows could not start because the following file is missing or corrupt: Windows\System32\Hal.dll Windows n'a pas pu démarrer car le fichier...

PC bloqué - system 32 manquant ou endommagé Voir

Virus system 32/cmd.exe etccc Voir

System 32 hall.dll endomagée Voir

Rundll32 - rundll32.exe Voirrundll32 - rundll32.exe Le processus rundll32.exe (rundll32 signifiant Run a DLL as a 32-bit application) est un processus générique de Windows NT/2000/XP servant à charger les librairies dynamiques (DLLs) en mémoire afin de les rendre...

Très beau travail Geoffrey,quelle maîtrise! un petit site que tu Lire la suite

Posez votre question Répondre

geoffrey5, le 5 jun 2008 à 15:34:10

Salut !!

fais un rapport hijackthis stp

Répondre à geoffrey5

Nabuchodonozor, le 5 jun 2008 à 15:37:09

Merci, réponse rapide :)
Voilà =>

Logfile of HijackThis v1.99.1
Scan saved at 15:36:04, on 05/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Install\Utils\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BM8ff04131] Rundll32.exe "C:\WINDOWS\System32\vqwvcakb.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Répondre à Nabuchodonozor

fordware, le 5 jun 2008 à 15:35:44

Salut camarade ,
Besoin d'une protection ?
Voici le lien : http://www.RegistryEasy.com
Source : Google.
@+

Répondre à fordware

Nabuchodonozor, le 5 jun 2008 à 15:54:20

Ce logiciel est payant...

Répondre à Nabuchodonozor

geoffrey5, le 5 jun 2008 à 15:37:38

Mdr fordware...il ne marche pas ton lien !!

Répondre à geoffrey5

fordware, le 5 jun 2008 à 15:39:27

Salut camarade ,
Désolé ! Peut - être j'ai copié incorrectement !
@+

Répondre à fordware

vieux-loup, le 5 jun 2008 à 15:37:43

Tu peux déjà aller voir sur http://www.fichier-dll.fr/ ,dans leur recherche,ce qu'est cette dll
à+

Répondre à vieux-loup

Nabuchodonozor, le 5 jun 2008 à 15:40:59

Aucun résultat pour vqwvcakb.dll, je pense qu'il s'agit d'une dll crée par un trojan, avec un nom aléatoire.

Répondre à Nabuchodonozor

geoffrey5, le 5 jun 2008 à 15:39:49

Ton hijackthis n est pas à jour :s

Désinstalle le puis retélécharge le sur le bureau : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

-une fois installé sur le bureau, le renommer scan.exe
-Double-clic dessus
- Clic sur "Do a system scan and save the log"
- copier le rapport, le coller dans la réponse

Répondre à geoffrey5

Nabuchodonozor, le 5 jun 2008 à 15:43:14

Merci pour le lien. Voilà le nouveau LogFile=>

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:40, on 05/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Install\Utils\Hijackthis\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {e38a5b54-5b92-df78-98c4-318f619ac928} - {829ca916-f813-4c89-87fd-29b545b5a83e} - C:\WINDOWS\System32\nqucsnuf.dll
O2 - BHO: (no name) - {F15BB6B2-84BD-4000-8BCC-5F0C8998AC4C} - C:\WINDOWS\System32\khfCsqPJ.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BM8ff04131] Rundll32.exe "C:\WINDOWS\System32\vqwvcakb.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Wheel Mouse Optical Driver - {D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
End of file - 2791 bytes

Répondre à Nabuchodonozor

geoffrey5, le 5 jun 2008 à 15:53:40

Télécharger sur le bureau Navilog1 : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Si votre antivirus s'affole , le désactiver
= double-clic dessus pour l'installer et le lancer
Quand installé
= taper F
= Appuyer sur une touche jusqu' arriver aux options
= Choisir Recherche ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

un rapport : fixnavi.txt
dans ==> C :
le copier et le coller dans la réponse

Répondre à geoffrey5

Nabuchodonozor, le 5 jun 2008 à 16:02:39

LogFile de Navilog =>

Search Navipromo version 3.5.7 commencé le 05/06/2008 à 15:57:18.53

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "toto"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\toto\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\Maman\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\TEMP\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\toto\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\Maman\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\TEMP\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\toto\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\Maman\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\TEMP\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\toto\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\Maman\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\toto\locals~1\applic~1" :

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

* Dans "C:\DOCUME~1\Maman\locals~1\applic~1" :

* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\JPqsCfhk.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\NXwEMnpo.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 05/06/2008 à 16:00:36.51 ***

Je soupçonnais une infection par Vundo mais aucun des utilitaires que j'ai utilisé n'a pu le detecté...

Répondre à Nabuchodonozor

geoffrey5, le 5 jun 2008 à 15:55:17

Non pas du tout

Répondre à geoffrey5

geoffrey5, le 5 jun 2008 à 16:04:13

Ok...maintenant :

Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
--------------
- Double-Clic navilog1
- Choisir cette fois option 2 taper 2
note : le bureau disparaît
-Redémarrage du PC en mode normal

- mettre le rapport dans la réponse

Répondre à geoffrey5

Nabuchodonozor, le 5 jun 2008 à 16:20:20

Voilà:

Clean Navipromo version 3.5.7 commencé le 05/06/2008 à 16:10:11.62

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "toto"

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage executé en mode sans échec

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *

* Suppression dans "C:\Documents and Settings\toto\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\Maman\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINDOWS" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\toto\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\Maman\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\TEMP\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\toto\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\Maman\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\TEMP\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\toto\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\Maman\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\DOCUME~1\TEMP\menudm~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\toto\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINDOWS\system32" *

* Dans "C:\Documents and Settings\toto\locals~1\applic~1" *

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Dans "C:\DOCUME~1\Maman\locals~1\applic~1" *

* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 05/06/2008 à 16:12:35.46 ***

Répondre à Nabuchodonozor

geoffrey5, le 5 jun 2008 à 16:22:04

Refais un rapport hijackthis pour vérifier

Répondre à geoffrey5

Nabuchodonozor, le 5 jun 2008 à 16:27:48

Soooo.... :) =>

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:49, on 05/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Install\Utils\Hijackthis\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {e38a5b54-5b92-df78-98c4-318f619ac928} - {829ca916-f813-4c89-87fd-29b545b5a83e} - C:\WINDOWS\System32\nqucsnuf.dll
O2 - BHO: (no name) - {8F673BFD-45F7-4B00-BB3F-2E14101A9B24} - C:\WINDOWS\System32\khfCsqPJ.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BM8ff04131] Rundll32.exe "C:\WINDOWS\System32\vqwvcakb.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O22 - SharedTaskScheduler: Wheel Mouse Optical Driver - {D1A2E7CD-F5C1-21A8-CA2C-13D0AC72D19D} - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
End of file - 2838 bytes

Répondre à Nabuchodonozor

geoffrey5, le 5 jun 2008 à 16:39:43

C est bizzare que vundo ne t avait rien trouvé car tu as encore une infection vundo :s

réessaye :

-Clic Scan for Vundo
- le scan peut être assez long (1à2h) comme très rapide , à la fin
-Clic Fix Vundo
- Puis yes
- Le Bureau disparaît un moment lors de la suppression des fichiers.
-Message shutdown
-clic oui
-Redémarrage auto
Note : il peut y avoir plusieurs redémarrages
-copier le rapport qui est dans C:\vundofix.txt

et refait un hijack

Répondre à geoffrey5

Nabuchodonozor, le 5 jun 2008 à 16:42:20

Ok, je vais faire ça, mais comment expliquer la présence de DLL suspectes dans le System32 ?

Répondre à Nabuchodonozor

Nabuchodonozor, le 5 jun 2008 à 16:47:16

VundoFix 7.0.5 me dit qu'il n'a rien trouvé... je vais essayé avec FixVundo.exe de Symantec Corporation...

Répondre à Nabuchodonozor

Nabuchodonozor, le 5 jun 2008 à 18:21:39

Voilà le Logfile du premier Scan (aujourd'hui)

VundoFix V7.0.5

Scan started at 13:39:13 05/06/2008

Listing files found while scanning....

C:\Program Files\PowerISO\PWRISOSH.DLL

Beginning removal...

Attempting to delete C:\Program Files\PowerISO\PWRISOSH.DLL
C:\Program Files\PowerISO\PWRISOSH.DLL Has been deleted!

Performing Repairs to the registry.
Done!

Cependant j'ai toujours un probleme de lenteur des navigateurs web, l'ouverture depages web intempestives ainsi que plusieurs DLL suspectes...

Répondre à Nabuchodonozor

geoffrey5, le 5 jun 2008 à 19:29:04

Vundofix a supprimé un fichier...refais un rapport hijackthis stp

Répondre à geoffrey5

Nabuchodonozor, le 6 jun 2008 à 02:52:31

Le dernier rapport VundoFix est le premier que j'ai fait, avant d'ouvrir le sujet sur le forum. Malgré tous les scans et utilisations de divers utilitaires spécifiques, deux DLL persistaient :

khfCsqPJ.dll
vqwvcakb.dll

Ne pouvant supprimer ces fichiers sous windows, je suis passé sous DOS pour les effacer "à la main" (DEL C:\WINDOWS\SYSTEM32\vqwvcakb.dll etc...)

Voici le Logfile Hijackthis actuel :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:51:37, on 06/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Install\Utils\Hijackthis\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
End of file - 2398 bytes

Probleme résolu, merci à tous :)

Répondre à Nabuchodonozor

geoffrey5, le 6 jun 2008 à 04:20:08

Je ne vois plus d infections dans ton rapport..

Mais je vois aussi que tu n as pas d antivirus, aucuns logiciels antispyware et que tu es toujours en SP1 :s

télécharge :

antivir : http://www.01net.com/...

ad-aware : http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html

spybot : http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

AVG antispyware : http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/31851.html

le nettoyeur de registre Ccleaner : http://www.zebulon.fr/actualites/2016-nettoyeur-ccleaner.html

et enfin le SP2 : http://www.01net.com/telecharger/windows/Utilitaire/dll_librairies/fiches/29989.html

****Fais les mises à jour et analyses de ces programmes au moins une fois par semaine****

Si tu n as plus de problemes, tu peux aller mettre ton probleme résolu en haut de ton topic

Répondre à geoffrey5

vieux-loup, le 6 jun 2008 à 11:08:36

Très beau travail Geoffrey,quelle maîtrise!
un petit site que tu connais sans doute qui lance des alarmes et a des antivirus en ligne: http://www.secuser.com/

quand j'aurais des pb je saurais à qui faire appel

Répondre à vieux-loup

fordware, le 6 jun 2008 à 11:19:57

Salut ,
pal mal , pas mal vieux - loup ....
@+

Répondre à fordware

Posez votre question Répondre