sosmonordi.com

Dépannage technologique
http://sosmonordi.com/phpbb/

procedure pour nettoyer virus et adware

http://sosmonordi.com/phpbb/viewtopic.php?t=3230

Page 1 of 1

procedure pour nettoyer virus et adware

Posted: 17 Nov 2006, 19:12
by ericdaoust
Bonjour je suis infecté par adware.virtumonde, adware.sofbmate, downloader.zlob.feg, dowloader.zlob.fdq , dowloader.zlob.fcz , dialer.coh , generic2.ipp et generic2.isq

J'ai scanné avec housecall, spyboth , adawere et AVG mais ca revien toujours.

J'ai aussi desactivé la restauration systeme

je ne sais plus quoi faire

Merci

Posted: 17 Nov 2006, 19:14
by Lord
Complétez avec Ewido (Anglais) .

Posted: 17 Nov 2006, 19:27
by ericdaoust
je l'ai fait plusieur fois pourtant

Logfile of HijackThis v1.99.1
Scan saved at 19:25:43, on 2006-11-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ishost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\ismini.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\eric daoust\Local Settings\Temporary Internet Files\Content.IE5\WFWFSVWB\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.canoe.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
R3 - URLSearchHook: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
O2 - BHO: (no name) - {00EFA9AB-FB91-5245-B7D2-05FBF0AAABD8} - C:\WINDOWS\system32\gbipcqf.dll
O2 - BHO: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1776615D-D82E-0244-8635-09A1CAAFA142} - C:\WINDOWS\system32\tybwrwc.dll
O2 - BHO: (no name) - {2233D801-5F68-9C37-A331-03CF14E772D7} - C:\WINDOWS\system32\tlmnqtk.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5D2DC1EA-ECC9-E57D-1B3A-0568DD890EBE} - C:\WINDOWS\system32\rqpttck.dll
O2 - BHO: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
O2 - BHO: (no name) - {CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030} - C:\WINDOWS\system32\khfghfc.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvzop.dll,startup
O4 - HKLM\..\Run: [gpiyyfc.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\gpiyyfc.dll,vhrbxyb
O4 - HKLM\..\Run: [upllftk.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\upllftk.dll,gkxujc
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - C:\Program Files\Druide\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 2598976609
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/S ... anager.ocx
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: efcbxyy - efcbxyy.dll (file missing)
O20 - Winlogon Notify: efccyvw - efccyvw.dll (file missing)
O20 - Winlogon Notify: hggebxu - hggebxu.dll (file missing)
O20 - Winlogon Notify: jkkjggg - jkkjggg.dll (file missing)
O20 - Winlogon Notify: khfghfc - khfghfc.dll (file missing)
O20 - Winlogon Notify: opnlkhf - opnlkhf.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winpsa32 - winpsa32.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Posted: 17 Nov 2006, 19:57
by zztop
Bonsoir ericdaoust.

Pour pouvoir poster un log Hijackthis,vous devez y etre invité avant.Avez-vous suivi ce que Lord vous a proposé?


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
R3 - URLSearchHook: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
R3 - URLSearchHook: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
O2 - BHO: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
O2 - BHO: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.d
O2 - BHO: (no name) - {CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030} - C:\WINDOWS\system32\khfghfc.dll (file missing)
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
O4 - HKLM\..\Run: [gpiyyfc.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\gpiyyfc.dll,vhrbxyb
O4 - HKLM\..\Run: [upllftk.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\upllftk.dll,gkxujc
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: efcbxyy - efcbxyy.dll (file missing)
O20 - Winlogon Notify: efccyvw - efccyvw.dll (file missing)
O20 - Winlogon Notify: hggebxu - hggebxu.dll (file missing)
O20 - Winlogon Notify: jkkjggg - jkkjggg.dll (file missing)
O20 - Winlogon Notify: khfghfc - khfghfc.dll (file missing)
O20 - Winlogon Notify: opnlkhf - opnlkhf.dll (file missing)
O20 - Winlogon Notify: winpsa32 - winpsa32.dll (file missing)
Toutes ces lignes sont à supprimer.

Posted: 17 Nov 2006, 20:20
by Lord
SVP, ne jamais poster de log de HijackThis avant d'y être invité.

Je fais une exception, pour cette fois car vous semblez réellement en mauvaise posture mais , peut-être que d'autres solutions, moins drastiques auraient pu être envisagées?

Les lignes suivantes seront à supprimer:
  • R3 - URLSearchHook: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
  • R3 - URLSearchHook: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
  • O2 - BHO: (no name) - {00EFA9AB-FB91-5245-B7D2-05FBF0AAABD8} - C:\WINDOWS\system32\gbipcqf.dll
  • O2 - BHO: (no name) - {04BA20C2-BD04-E9A9-2C25-BFCE6DCEB6B2} - (no file)
  • O2 - BHO: (no name) - {1776615D-D82E-0244-8635-09A1CAAFA142} - C:\WINDOWS\system32\tybwrwc.dll
  • O2 - BHO: (no name) - {2233D801-5F68-9C37-A331-03CF14E772D7} - C:\WINDOWS\system32\tlmnqtk.dll
  • O2 - BHO: (no name) - {5D2DC1EA-ECC9-E57D-1B3A-0568DD890EBE} - C:\WINDOWS\system32\rqpttck.dll
  • O2 - BHO: (no name) - {62E70835-CDA2-C051-848F-C56937DB87B2} - (no file)
  • O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
  • O2 - BHO: (no name) - {CFE9E8A8-38C0-4EF8-AEC2-5035EFE81030} - C:\WINDOWS\system32\khfghfc.dll (file missing)
  • O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Program Files\Fichiers communs\{301373A0-07CC-1036-1112-041018010002}\888.dll
  • O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvzop.dll,startup
  • O4 - HKLM\..\Run: [gpiyyfc.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\gpiyyfc.dll,vhrbxyb
  • O4 - HKLM\..\Run: [upllftk.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\upllftk.dll,gkxujc
  • O18 - Filter: text/html - (no CLSID) - (no file)
  • 020 Toutes les lignes 020 où c'est écrit "file missing" à la fin
Refaites un "scan" avec "HijackThis" et à la fin, cochez toutes ces lignes. Avec le gestionnaire de tâches (CTRL+ALT+DEL) fermez le maximun d'applications actives possibles sauf évidemment "HijackThis" et explorer.exe mais incluant iexplore.exe (toutes les fenêtres de internet explorer) et cliquez finalement sur le bouton "Fix checked".

Redémarrez votre ordinateur en mode sans échec ( Utilisation du "Mode sans échec" ) et recherchez les fichiers drvzop.dll, gpiyyfc.dll et upllftk.dll et supprimer les si, ils existent encore.

Profitez-en pour désactiver la restauration de votre système ( Windows XP: Comment activer/désactiver la restauration du système et redémarrez en mode normal.

Réactivez ensuite la restauration du système.

Edit: Je n'avais pas vu votre réponse "zztop", bravo et merci :D !

Posted: 17 Nov 2006, 20:37
by ericdaoust
meric je vais faire cela

merci

Posted: 17 Nov 2006, 21:07
by ericdaoust
merci

resolu (je crois)

merci

Posted: 17 Nov 2006, 21:10
by Lord
Tenez-nous, au courant dans les prochains jours pour que l'on puisse inscrire [RÉSOLU] à ce sujet, s'il y a lieu ?
All times are UTC-04:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited