procedure pour nettoyer virus et adware

[ericdaoust]

Bonjour je suis infecté par adware.virtumonde, adware.sofbmate, downloader.zlob.feg, dowloader.zlob.fdq , dowloader.zlob.fcz , dialer.coh , generic2.ipp et generic2.isq

J'ai scanné avec housecall, spyboth , adawere et AVG mais ca revien toujours.

J'ai aussi desactivé la restauration systeme

je ne sais plus quoi faire

Merci

[Lord]

Complétez avec Ewido (Anglais) .

[ericdaoust]

je l'ai fait plusieur fois pourtant

Logfile of HijackThis v1.99.1
Scan saved at 19:25:43, on 2006-11-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ishost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\ismini.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\eric daoust\Local Settings\Temporary Internet Files\Content.IE5\WFWFSVWB\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.canoe.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
R3 - URLSearchHook: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
O2 - BHO: (no name) - {00EFA9AB-FB91-5245-B7D2-05FBF0AAABD8} - C:\WINDOWS\system32\gbipcqf.dll
O2 - BHO: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1776615D-D82E-0244-8635-09A1CAAFA142} - C:\WINDOWS\system32\tybwrwc.dll
O2 - BHO: (no name) - {2233D801-5F68-9C37-A331-03CF14E772D7} - C:\WINDOWS\system32\tlmnqtk.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5D2DC1EA-ECC9-E57D-1B3A-0568DD890EBE} - C:\WINDOWS\system32\rqpttck.dll
O2 - BHO: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
O2 - BHO: (no name) - {CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030} - C:\WINDOWS\system32\khfghfc.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvzop.dll,startup
O4 - HKLM\..\Run: [gpiyyfc.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\gpiyyfc.dll,vhrbxyb
O4 - HKLM\..\Run: [upllftk.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\upllftk.dll,gkxujc
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2598976609
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/S ... anager.ocx
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: efcbxyy - efcbxyy.dll (file missing)
O20 - Winlogon Notify: efccyvw - efccyvw.dll (file missing)
O20 - Winlogon Notify: hggebxu - hggebxu.dll (file missing)
O20 - Winlogon Notify: jkkjggg - jkkjggg.dll (file missing)
O20 - Winlogon Notify: khfghfc - khfghfc.dll (file missing)
O20 - Winlogon Notify: opnlkhf - opnlkhf.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winpsa32 - winpsa32.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[zztop]

Bonsoir ericdaoust.

Pour pouvoir poster un log Hijackthis,vous devez y etre invité avant.Avez-vous suivi ce que Lord vous a proposé?


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
R3 - URLSearchHook: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
R3 - URLSearchHook: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
O2 - BHO: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
O2 - BHO: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.d
O2 - BHO: (no name) - {CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030} - C:\WINDOWS\system32\khfghfc.dll (file missing)
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
O4 - HKLM\..\Run: [gpiyyfc.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\gpiyyfc.dll,vhrbxyb
O4 - HKLM\..\Run: [upllftk.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\upllftk.dll,gkxujc
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: efcbxyy - efcbxyy.dll (file missing)
O20 - Winlogon Notify: efccyvw - efccyvw.dll (file missing)
O20 - Winlogon Notify: hggebxu - hggebxu.dll (file missing)
O20 - Winlogon Notify: jkkjggg - jkkjggg.dll (file missing)
O20 - Winlogon Notify: khfghfc - khfghfc.dll (file missing)
O20 - Winlogon Notify: opnlkhf - opnlkhf.dll (file missing)
O20 - Winlogon Notify: winpsa32 - winpsa32.dll (file missing)
Toutes ces lignes sont à supprimer.

[Lord]

SVP, ne jamais poster de log de HijackThis avant d'y être invité.

Je fais une exception, pour cette fois car vous semblez réellement en mauvaise posture mais , peut-être que d'autres solutions, moins drastiques auraient pu être envisagées?

Les lignes suivantes seront à supprimer:

• R3 - URLSearchHook: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
• R3 - URLSearchHook: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
• O2 - BHO: (no name) - {00EFA9AB-FB91-5245-B7D2-05FBF0AAABD8} - C:\WINDOWS\system32\gbipcqf.dll
• O2 - BHO: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
• O2 - BHO: (no name) - {1776615D-D82E-0244-8635-09A1CAAFA142} - C:\WINDOWS\system32\tybwrwc.dll
• O2 - BHO: (no name) - {2233D801-5F68-9C37-A331-03CF14E772D7} - C:\WINDOWS\system32\tlmnqtk.dll
• O2 - BHO: (no name) - {5D2DC1EA-ECC9-E57D-1B3A-0568DD890EBE} - C:\WINDOWS\system32\rqpttck.dll
• O2 - BHO: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
• O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
• O2 - BHO: (no name) - {CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030} - C:\WINDOWS\system32\khfghfc.dll (file missing)
• O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
• O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvzop.dll,startup
• O4 - HKLM\..\Run: [gpiyyfc.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\gpiyyfc.dll,vhrbxyb
• O4 - HKLM\..\Run: [upllftk.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\upllftk.dll,gkxujc
• O18 - Filter: text/html - (no CLSID) - (no file)
• 020 Toutes les lignes 020 où c'est écrit "file missing" à la fin

Refaites un "scan" avec "HijackThis" et à la fin, cochez toutes ces lignes. Avec le gestionnaire de tâches (CTRL+ALT+DEL) fermez le maximun d'applications actives possibles sauf évidemment "HijackThis" et explorer.exe mais incluant iexplore.exe (toutes les fenêtres de internet explorer) et cliquez finalement sur le bouton "Fix checked".

Redémarrez votre ordinateur en mode sans échec ( Utilisation du "Mode sans échec" ) et recherchez les fichiers drvzop.dll, gpiyyfc.dll et upllftk.dll et supprimer les si, ils existent encore.

Profitez-en pour désactiver la restauration de votre système ( Windows XP: Comment activer/désactiver la restauration du système et redémarrez en mode normal.

Réactivez ensuite la restauration du système.

Edit: Je n'avais pas vu votre réponse "zztop", bravo et merci !

[ericdaoust]

meric je vais faire cela

merci

[ericdaoust]

merci

resolu (je crois)

merci

[Lord]

Tenez-nous, au courant dans les prochains jours pour que l'on puisse inscrire [RÉSOLU] à ce sujet, s'il y a lieu ?