c:\windows\system32\xqwdawtx.dll ?Fermé

Question

Bonjour,  

Je suis assez ennuyé depuis quelques jours sur mon dell latitude D520. Redirections fréquentes sous firefox lorsque je clique sur un lien recherché dans google (notez que je n'ai pas ces redirections si j'utilise google ssl), ouverture de pop up internet explorer (alors que je n'utilise que firefox), plantages divers (panneau de son qui ne s'ouvre plus, plantage d'explorer)... 

J'ai passé plusieurs scans en ligne (bitdefender entre autres), ccleaner, highjack this, spybot, malwaresbyte, mais rien n'y a fait. J'ai notamment dans mes processus actifs ce fichier xqwawtx.dll...  

Introuvable sur le net, on dirait qu'il n'existe pas. 

Qui pourrait m'aider ? 

Mon log highjack this : 
Logfile of Trend Micro HijackThis v2.0.4 
Scan saved at 15:38:43, on 25/05/2011 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\csrss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\WLTRYSVC.EXE 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\System32\bcmwltry.exe 
C:\WINDOWS\system32\svchost.exe 
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe 
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 
C:\PROGRA~1\AVG\AVG8\avgtray.exe 
C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe 
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 
C:\PROGRA~1\AVG\AVG8\avgrsx.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\system32\wbem\unsecapp.exe 
C:\WINDOWS\system32\wbem\unsecapp.exe 
C:\WINDOWS\System32\alg.exe 
C:\PROGRA~1\AVG\AVG8\avgnsx.exe 
C:\Program Files\Google\Google Talk\googletalk.exe 
C:\Program Files\MATLAB\R2008a\bin\win32\MATLAB.exe 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\Mozilla Firefox\firefox.exe 
C:\Program Files\Mozilla Firefox\plugin-container.exe 
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe 
C:\WINDOWS\system32\wbem\wmiprvse.exe 

O2 - BHO: (no name) - {D9B411CB-EB2F-334E-45A5-A6D3BBAB3226} - c:\windows\system32\xqwdawtx.dll 
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe 
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6B00C67-13E0-47FC-84C5-93547A9E385E}: NameServer = 194.254.131.201,193.49.225.15 
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll 
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) 
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe 
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe 
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe 
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe 
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe 
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe 
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe 
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32
etdde.exe 
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32
etdde.exe 
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe 
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe 
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe 
O23 - Service: Intel(R) PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\S24EvMon.exe 
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe 
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe 
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe 
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE 
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe 
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe 

End of file - 4664 bytes 

Merci beaucoup !  
Antoine 



Configuration: Configuration: Windows XP / Firefox 4.0.1

Utilisateur anonyme · Answer

Bonjour

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

Antoine666 · Answer

Merci pour cette réponse très détaillée. J'en ai un peu chié pour désinstaller avg (combofix ne fonctionne pas s'il est installé apparemment) mais j'ai suivi toutes les étapes à la lettre.

Voici mon log


ComboFix 11-05-23.02 - antoine 25/05/2011  16:51:33.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1014.628 [GMT 2:00]
Lancé depuis: c:\documents and settings\antoine\Bureau\ashdei.exe
AV: AVG Anti-Virus Free *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\antoine\Application Data\Adobe\plugs
c:\documents and settings\antoine\Application Data\Adobe\shed
c:\documents and settings\antoine\Application Data\inst.exe
c:\documents and settings\LocalService\Local Settings\Application Data\mekomdo.dll
c:\documents and settings\NetworkService\Local Settings\Application Data\uximert.dll
c:\windows\system32\sshnas21.dll
c:\windows\system32\xqwdawtx.dll
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Legacy_QJKEKMAQ
-------\Legacy_SSHNAS
-------\Service_qjkekmaq
-------\Service_SSHNAS
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-25 au 2011-05-25  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-25 13:01 . 2011-05-25 13:02	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2011-05-24 22:09 . 2011-05-24 22:09	--------	d-----w-	c:\documents and settings\antoine\Application Data\AccurateRip
2011-05-24 22:08 . 2011-05-24 22:09	--------	d-----w-	c:\program files\Exact Audio Copy
2011-05-22 16:08 . 2011-05-22 16:08	388096	----a-r-	c:\documents and settings\antoine\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2011-05-22 16:08 . 2011-05-22 16:08	--------	d-----w-	c:\program files\Trend Micro
2011-05-21 22:52 . 2011-05-21 22:52	813568	----a-w-	c:\windows\system32\xawtx
2011-05-18 13:32 . 2011-05-22 16:27	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2011-05-18 13:32 . 2011-05-22 16:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2011-05-16 15:30 . 2011-05-16 15:30	--------	d-----w-	c:\program files\ESET
2011-05-15 22:15 . 2011-05-15 22:15	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2009-03-02 14:10	692736	----a-w-	c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2008-04-14 12:00	434176	----a-w-	c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2008-04-14 12:00	1858048	----a-w-	c:\windows\system32\win32k.sys
2009-07-06 16:39 . 2010-01-29 19:32	4411392	----a-w-	c:\program files\mplayerc.exe
2011-04-29 12:31 . 2011-03-27 01:38	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D9B411CB-EB2F-334E-45A5-A6D3BBAB3226}]
2008-04-14 12:00	813568	----a-w-	c:\windows\system32\xqwdawtx.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Enhanced Storage]
@="{D9B411CB-EB2F-334E-45A5-A6D3BBAB3226}"
[HKEY_CLASSES_ROOT\CLSID\{D9B411CB-EB2F-334E-45A5-A6D3BBAB3226}]
2008-04-14 12:00	813568	----a-w-	c:\windows\system32\xqwdawtx.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2010-11-02 1210640]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-14 12:00	15360	----a-w-	c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2010-11-02 12:29	1210640	----a-w-	c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Google\Google Talk\googletalk.exe"=
"c:\Program Files\VideoLAN\VLC\vlc.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Java\jre6\bin\javaw.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
.
R3 NETwLx32;    Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows XP 32 bits ;c:\windows\system32\drivers\NETwLx32.sys [28/02/2011 01:18 6609920]
S0 cerc6;cerc6; [x]
S3 RT2400;RT2400 Wireless Driver;c:\windows\system32\DRIVERS\RT2400.sys --> c:\windows\system32\DRIVERS\RT2400.sys [?]
S4 AMService;AMService;c:\windows\TEMP\igtr\setup.exe run --> c:\windows\TEMP\igtr\setup.exe run [?]
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
TCP: {A6B00C67-13E0-47FC-84C5-93547A9E385E} = 194.254.131.201,193.49.225.15
FF - ProfilePath - c:\documents and settings\antoine\Application Data\Mozilla\Firefox\Profiles\pd6d2uid.default\
FF - prefs.js: browser.search.selectedEngine - Google SSL
FF - prefs.js: browser.startup.homepage - hxxps://encrypted.google.com/
FF - user.js: yahoo.homepage.dontask - true
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Notify-avgrsstarter - avgrsstx.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-25 17:02
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: FUJITSU_MHW2080BJ_G2 rev.0085001A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 
.
device: opened successfully
user: MBR read successfully
error: Read  Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x864B353B
user & kernel MBR OK 
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-854245398-448539723-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:e8,70,2f,96,a3,09,2d,d8,45,cd,5e,b1,61,f4,56,e7,fe,24,8e,e3,3f,
   1c,7a,9e,b1,8b,55,3c,c7,ab,73,38,ad,5c,23,e6,d6,cf,dd,c4,12,79,22,f2,a8,10,\
"rkeysecu"=hex:70,1c,0f,04,ac,4e,0b,97,97,dc,ac,13,49,97,50,ea
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(956)
c:\windows\system32\sxs.dll
c:\windows\System32\BCMLogon.dll
c:\windows\system32
etprovcredman.dll
c:\windows\system32\xqwdawtx.dll
.
- - - - - - - > 'explorer.exe'(1916)
c:\windows\system32\xqwdawtx.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32
etprovcredman.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2011-05-25  17:08:06 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-05-25 15:08
.
Avant-CF: 18 617 860 096 octets libres
Après-CF: 18 962 817 024 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - E9C4007989CEC0326373AFEBEF52593A

Antoine666 · Answer

De ce fait je ne sais pas s'il faut encore faire quoi que ce soit ?

Utilisateur anonyme · Answer

Bonjour

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

 Clique sur " parcourir ", cherche un fichier à la fois :

c:\windows\system32\xawtx 

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

 Attends la fin. Il doit comprendre la taille du fichier envoyé. 

 Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

 Copie le lien du rapport dans ta réponse et fait le pour chaque fichier ; merci 

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant


@+

C:\windows\system32\xqwdawtx.dll ?

4 réponses

Newsletters