ddamien63

Bonsoir vous tous. Je tenais à donner des nouvelles de mon infection et à ce jour, je n'ai pas eu de nouvelle manifestation de Win32:Zapchast-O, je pense que l'on peut donc considéré le sujet comme résolu. Et surtout merci de votre aide

Je te tiendrai au courant sur ce sujet. Pour l'instant, après avoir réinstallé les softs indispensables, et apres 2H sur le net, avast ne m'a encore rien signalé, de meme en scannant le répertoire Windows, je pense que l'on peut donc considérer que le problème est résolu. Je suis conscient que d'avoir formaté, ça ne fera pas avancer nos investigations si jamais qqun d'autre etait victime de cet infection mais j'ai besoin de mon portable tous les jours au boulot et mes collègues commençait à en avoir assez de la sirène d'avast toutes les 15s Re-grand merci à toi et à Laurent_62

Oui je sais, c'est dommage de formater pour ça mais comme ça c'est l'occasion de faire un grand ménage. Le pire c'est que le formatage de bas niveau a duré toute la nuit mais que tout à l'heure, en voulant reinstaller un driver à partir d'un dvd de sauvegarde, j'ai eu à nouveau un message d'alerte d'avast concernant la meme bestiole. Par contre cette fois çi, il a apparemment réussi a supprimer completement le fichier. Je vous tiendrai au courant, mais étant donné que je n'avais encore quasiment rien d'installé à ce moment la et que le scan de mon dvd est négatif, je pense plutot que avast considère à tort la dll wdmfmc32.dll comme une occurence du cheval de troie Win32:Zapchast-O. Je vais envoyer un email à avast pour confirmer. Mais si jamais il s'avère que je suis encore infecté, j'essaierai les deux derniers liens que vous avez mis. En tout cas merci à vous deux de m'avoir aidé

Merci de t'occuper de mon cas mais j'ai envisagé une solution beaucoup plus radicale, je suis en train de faire un formatage de bas niveau, il ne devrait pas pouvoir y résister. Au cas ou certains autres utilisateurs auraient le meme souci, je souhaitais juste de faire lire ce rapport que j'ai pu avoir sur Jotti's malware scan : File: wdmfmc32.dll Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5 6a33e2e4067b64006f8058b01a0ef788 Packers detected: - Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found Win32:Zapchast-O AVG Antivirus Found nothing BitDefender Found Win32.Sality.I ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found Virus.Win32.Sality.n NOD32 Found a variant of Win32/Sality Norman Virus Control Found nothing UNA Found nothing VirusBuster Found nothing VBA32 Found nothing

Regsearch ne trouve rien et, pire que tout, j'ai formaté ttes mes partitions et reinstallé windows et il est toujours la avant meme que je me connecte au net. Je vais craquer

Encore un truc qui peut peut etre t'aider, j'ai essayé de supprimer le fichier en mode normal en le libérant des processus qui l'utilisent avec Unlocker, ça n'a pas marché mais dans les processus il y avait : ati2evxx.exe explorer.exe ashDisp.exe(avast) atiptaxx.exe SOUNDMAN.exe Ktp3.exe(logiciel de mon touchpad) ctfmon.exe Si tu pense à qqch, merci de me le dire parce que la commence sérieusement à me gonfler

Par contre en mode sans echec il n'apparait plus

Il me dit qu'il est utilisé par un autre processus

re J'ai beau essayer il me dit : The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

re voila le scan avec silentrunners "Silent Runners.vbs", revision 45, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "avast!" = "E:\AVAST\ashDisp.exe" [null data] "ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "KTPWare" = "C:\Program Files\Elantech\ktp3.exe" ["ELANTECH Devices Corp."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration" -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{472083B0-C522-11CF-8763-00608CC02F24}" = "avast" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "E:\AVAST\ashShell.dll" ["ALWIL Software"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "E:\OFFICE\Office10\msohev.dll" [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "E:\AVAST\ashShell.dll" ["ALWIL Software"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "E:\AVAST\ashShell.dll" ["ALWIL Software"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Damien Delorme" & "All Users" startup folders: ---------------------------------------------------------------- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "IPN2220 WLAN Configuration Utility" -> shortcut to: "C:\Program Files\InProComm\IPN2220\wlan_ui.exe" ["INPROCOMM"] "Microsoft Office" -> shortcut to: "E:\OFFICE\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/" Missing lines (compared with English-language version): [strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] avast! Antivirus, avast! Antivirus, ""E:\AVAST\ashServ.exe"" [null data] avast! iAVS4 Control Service, aswUpdSv, ""E:\AVAST\aswUpdSv.exe"" [null data] avast! Mail Scanner, avast! Mail Scanner, ""E:\AVAST\ashMaiSv.exe" /service" ["ALWIL Software"] avast! Web Scanner, avast! Web Scanner, ""E:\AVAST\ashWebSv.exe" /service" ["ALWIL Software"] BlueSoleil Hid Service, BlueSoleil Hid Service, "E:\BLUETOOTH\BTNtService.exe" [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 34 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 6 seconds. ---------- (total run time: 71 seconds)

salut j'ai pas encore essayé silentrunners mais un truc m'échappe : je viens de formater mes partitions système et logiciels, et quand je met avast à jour, il me trouve à nouveau le virus, ne serait-ce pas un virus dans la mise à jour d'avast?

re C'est toujours pareil, je supprime le fichier en mode sans echec et au redemarrage avast me dit d'abord qu'il a été modifié puis sonne toutes le 5s pour me dire que je suis infecté par ce virus.

Voila le scan kaspersky online ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER - RAPPORT samedi 13 mai 2006 14:34:30 Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version de Kaspersky On-line Scanner: 5.0.78.0 Dernière mise à jour de la base antivirus Kaspersky : 13/05/2006 Enregistrements dans la base antivirus Kaspersky : 181860 ------------------------------------------------------------------------------- Paramètres d'analyse: Analyser avec la base antivirus suivante: standard Analyser les archives: vrai Analyser les bases de messagerie.: vrai Cible de l'analyse - Zones critiques: C:\WINDOWS C:\DOCUME~1\DAMIEN~1\LOCALS~1\Temp\ Statistiques de l'analyse: Total d'objets analysés :: 11340 Nombre de virus trouvés: 1 Nombre d'objets infectés: 2 Nombre d'objets suspects: 0 Durée de l'analyse: 00:09:04 Nom de l'objet infecté / Nom du virus / Dernière action C:\WINDOWS\system32\wdmfmc32.dl_/ Infecté: Virus.Win32.Sality.n ignoré C:\WINDOWS\system32\wdmfmc32.dl_ MS Expand: infecté - 1 ignoré Analyse terminée.

Encore désolé de te redemander de l'aide mais ça ne marche toujours pas. J'ai refait un scan avec antivir en mode sans echec mais ensuite je n'ai pas pu le desinstaller car le fichier avait sois disant été corrompu et maintenant qantiviruand je redémarre, avast me dit que ses fichiers ont été corrompu et antivir aussi. J'ai peu de n'avoir d'autre solution que de formater. Tu en penses quoi?

j'essaye killbox de suite mais je te met quand meme le rapport de ewido et le nouveau log hijackthis : --------------------------------------------------------- ewido anti-malware - Rapport de scan --------------------------------------------------------- + Créé le: 22:10:59, 11/05/2006 + Somme de contrôle: 2B2605 + Résultats du scan: :mozilla.6:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Estat : Nettoyer et sauvegarder :mozilla.12:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyer et sauvegarder :mozilla.35:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder :mozilla.36:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder :mozilla.37:C:\Documents and Settings\Damien Delorme\Application Data\Mozilla\Firefox\Profiles\b4kj1bl9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder ::Fin du rapport Logfile of HijackThis v1.99.1 Scan saved at 22:15:11, on 11/05/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe E:\Avast\aswUpdSv.exe E:\Avast\ashServ.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe E:\Diskeeper Lite\DKService.exe E:\ewido anti-malware\ewidoctrl.exe E:\Alcohol\Alcohol 120\StarWind\StarWindService.exe E:\Avast\ashMaiSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE E:\Avast\ashWebSv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe E:\Cloneur Expert\TrueImageMonitor.exe C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\J2SE Runtime Environment\bin\jusched.exe E:\Avast\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\InProComm\IPN2220\wlan_ui.exe E:\Acrobat Reader\Reader\reader_sl.exe C:\Program Files\OpenOffice.org 2.0\program\soffice.exe C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN C:\WINDOWS\system32\wuauclt.exe E:\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\J2SE Runtime Environment\bin\ssv.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cloneur Expert Monitor] E:\Cloneur Expert\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\J2SE Runtime Environment\bin\jusched.exe O4 - HKLM\..\Run: [avast!] E:\Avast\ashDisp.exe O4 - HKLM\..\Run: [Anti-Blaxx Manager] E:\Anti-Blaxx\Anti-Blaxx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: IPN2220 WLAN Configuration Utility.lnk = C:\Program Files\InProComm\IPN2220\wlan_ui.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = E:\Acrobat Reader\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\J2SE Runtime Environment\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\J2SE Runtime Environment\bin\ssv.dll O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Avast\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - E:\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - E:\Avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - E:\Avast\ashWebSv.exe" /service (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Diskeeper Lite\DKService.exe O23 - Service: ewido security suite control - ewido networks - E:\ewido anti-malware\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Alcohol\Alcohol 120\StarWind\StarWindService.exe