Sujet Précédent Sujet Suivant

[Trojan & Pub ] xbxggwsb.dll , mckopfqv.dll

Résolu/Fermé
Rajackta Messages postés 11 Date d'inscription lundi 4 décembre 2006 Statut Membre Dernière intervention 8 juillet 2007 - 4 déc. 2006 à 15:07
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 - 5 déc. 2006 à 01:35
Coucou !

Voilà plusieurs jours que j'essaye de virer un Spyware/trojan de mon 3 eme PC mais rien à faire !

J'ai essayé plusieurs technique mais le bougre semble se plaire dans mon disque dur =)

1ere symtome:

Le virus/trojan/etc semble utilisait un systeme de generation de trojan au demarrage du PC mais je ne parviens pas a trouver le fichier "mere" afin de mettre un terme a cela .
Voici une liste des 3 dernieres generations de trojan (scanner sur ewido)
Xbxggwsb.dll , mckopfqv.dll , _delete_on_reboot_m_c_k_o_p_f_q_v_._d_l_l_

Donc ceci ont déjà étés suprimés mais forcement au prochain demarrage j'en aurais un autre .

2eme symptome:

Des fenetres viennent à ce lancer environ toutes les 5 minutes quand je lance IE (version 6) , les fenetres parlent de Winantivirus et Drivecleaner.
Les fenetres peuvent etres accompagnés de message pop up sur le quel il faut repondre OK ou Annuler , biensur l'un ou l'autre lance le programme . Annuler efface meme votre derniere page Web lancait.

Ce que j'ai déjà fais

Et bien j'ai déjà scanné sous plusieurs types de programmes mais rien à faire , pour resumer .
Ad-Aware , A-squared , Ewido , Spybot , regcleaner , ccleaner , norton anti virus.

J'ai cru comprendre que sur ce forum ont parlés surtout de Spybot donc je vais vous donnés en gros ce que j'ai recu sur celui ci.

Au 1 er scann plusieurs types de spyware (une 10 ene) tous effacer du 1 er coup sauf "VirtuMode" , il a fallu que je reboot et l'effacer au redemarrage , chose que le programme a fait .
D'ailleurs apres cela le programme avait légerment planter (j'ai du rechoisir la langue du programme car l'ecrire etait completement bugger)

Au 2 eme scann (et tous les autres jusqu'a maintenant) j'ai toujours 2 programmes qui reviennent que voici :

Smitfraud-C Toolbar888 (1 hkey) et VirtuMode (2 hkey + un *.dll)

Et biensur ... j'ai toujours le probleme du trojan et des pop-up ...

Que faire ? ci join le log de HijackThis.exe

Merci d'avance pour vos réponses

Rajckata (devant son pc jusqu'a 17h00)

(edit info + : l'acces vers document and setting est tres long , une minute de freeze pour y entrer environ , le mode sans echec ne se lance plus aux dernieres nouvelles (c la qu'on regrette le DOS =) )


----------------------------------------------------------------------------Logfile of HijackThis v1.99.1
Scan saved at 15:06:23, on 04/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Djoun\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hlj.com/hljlist2/?Scale=0&MacroType=All&SeriTxt1=Saint+Seiya+Myth&Dis=-2&GenreCode=All
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
----------------------------------------------------------------------------
A voir également:

4 réponses

Réponse 1 / 4
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 624
4 déc. 2006 à 16:35
bonjour tout d'abord telecharge la nouvel version d'edwido qui est devenu avg antispyware :

(3) AVG anti spyware
https://www.01net.com/telecharger/

Copier/coller le rapport entier sur le forum. (n'oublie pas de le mettre a jour avant de lancer le scan)
NB suis les instruction du tutoriel
http://www.malekal.com/tutorial_AVG_AntiSpyware.html
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html


Télécharge Blacklight (de F-Secure) a l’une des 2 adresses :
https://www.f-secure.com/en
https://www.f-secure.com/en

et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse

a+++
0
Rajackta Messages postés 11 Date d'inscription lundi 4 décembre 2006 Statut Membre Dernière intervention 8 juillet 2007
4 déc. 2006 à 23:54
Coucou !


Donc sur Blacklight Rootkit Eliminator (+mise à jours) ,

Scan targets : Hidden processes
Hidden files and folders

Status :
Scan Completed.
No hidden items were found.

Summary :
Hidden items found : 0
Items queued for remaning : 0

Bref rien (comme dis dans le post le plus gros des spywares avaient deja etés poutres par les autres spyware , par contre celui ci ne trouve pas les 2 cités ci dessus par spybot et qui semblent s'approcher de la source.

Pour AVG anti-spyware (MAJ du 04/12/2006)

Objets Analyses : 282 844
Objets omis : 0
Objets infectés : 0
Analyse démarée à : 04/12/2006 23:13:31
Temps écoulé : 36 min 43s
Analyse en cours : Système de fichiers

L'analyse est terminée . Aucun problème à signaler .


Rien à redire la dessus.


Sinon pour l'anti virus à vrai dire j'avais norton antivirus jusqu'au moment ou le virus est arrivé , apres cela je l'ai effacé . J'ai toujours evolué sans anti virus et jamais eu de probleme car je faisais attention , la du coup j'ai fais confiance a un fichier que je trouvais tres tres louche car norton m'a rien dit et apparement c'etait un virus !
Bref depuis a + Norton :p

Cette aprem midi sinon j'ai installé Kaspersky pour tester un truc , il a trouvé les trojans dont je parle plus haut et effacer , des que le fichier était effacer un autre arriver .

Mais Kaspersky on dirait (je viens de rentrer) n'a pas trouver le fichier sources de la reproduction des trojans .

Enfin bref le cas n'a pas evolué , plus je fais des testes plus je pense qui y'a un seul fichier qui relance tout le tout à chaque demarrage et qui biensur n'est pas detecté par les anti virus and co.

Dans ma liste de programme en court j'ai un doute sur celui ci ,

HKLM:run : Nvmediacenter : Rundll32.exe c:\Windows\systeme32\NvMcTray.dll,nvtaskbarinit (depuis ccleaner)


Cordialement (et merci pour le coup de main)
0
Réponse 2 / 4
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 624
4 déc. 2006 à 16:41
re je vois que tu n'a pas d'antivirus

je te conseil avast (gratuit) en attendant que tu achetes un bon antivirus


Avast (antivirus)
https://www.clubic.com/telecharger-fiche11113-avast-antivirus-gratuit.html

tutorial
https://forums.cnetfrance.fr

a+++
0
Réponse 3 / 4
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 624
5 déc. 2006 à 01:30
bonsoir pour le trojan VirtuMode essay ca

1/Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=4

>Double-clique VundoFix.exe afin de le lancer.
>Clique sur le bouton Scan for Vundo.
>Lorsque le scan est complété, clique sur le bouton Remove Vundo.
>Une invite te demandera si tu veux supprimer les fichiers, clique YES
>Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
>Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
>Démarre ton PC à nouveau.
>Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

pour smitfraud c essay ceci :)


Télécharge SmitfraudFix : (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum


a++
0
Réponse 4 / 4
salwa5 Messages postés 7452 Date d'inscription jeudi 30 novembre 2006 Statut Contributeur Dernière intervention 18 août 2012 1 624
5 déc. 2006 à 01:35 
Mais Kaspersky on dirait (je viens de rentrer) n'a pas trouver le fichier sources de la reproduction des trojans .


a mon avis le meilleur moyen de trouvé le fichier source c'est d'installé un parfeu :) je te conseille kerio :


Kerio (parefeu)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html

tuto

https://forums.cnetfrance.fr

le parfeu va t'alerté a chaque fois qu'un fichier tente de se connecté sur le net et c'est comme ca qu'on va reperé le nom du fichier source qui retelecharge les trojans


a+++
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Musique pub Skoda IV
SkodaIV -
Duck -

16 réponses
Cherche chanteur et titre chanson pub kinder noel 2023
Herme80 -
trekipat -

16 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses