virus edgaccess

[cesar56]

bonjour

Je suis nouveau et je n'arrive pas à me débarasser d'un virus : dial/edgaccess.4_1064.dll

Les symptômes sont - l'intrusions de fenetres de charmes ou casino...

- je n'arrive plus à aller sur les pages "sécurisées" genre banques, assurances ... (ca c'est peut être une mauvaise manip de ma part ??!)

Je suis allé sur "speedweb1.free" et j'ai suivi les instructions mais le virus est toujours la.

Voici une copie di hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 12:54:01, on 03/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [wahikadeuw] c:\windows\system32\wahikadeuw.exe wahikadeuw

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NI.UWA6PV_0001_N91M2107] "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWA6PV_0001_N91M2107NetInstaller.exe" -nag

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGACCESS4_1064.dll,InstantAccess

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.my-etrust.com/Support/PestScanner/pestscan.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: ISSvc (ISSVC) - Unknown owner - C:\Program Files\Norton Personal Firewall\ISSVC.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

merci de votre aide

[Malekal_morte]

Bonjour,

 

 

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

- Clic en bas sur "I accept"

- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.

- Lance-le en double-cliquant sur le fichier blbeta.exe

- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.

- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici, pour cela :

- Menu Edition / copier

- ici dans un nouveau message : clic droit / coller

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

[cesar56]

Bonjour,

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

- Clic en bas sur "I accept"

- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.

- Lance-le en double-cliquant sur le fichier blbeta.exe

- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.

- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici, pour cela :

- Menu Edition / copier

- ici dans un nouveau message : clic droit / coller

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

[cesar56]

bonjour

désolé de ne pas répondre plus tôt, je n'arrive pas à télécharger "blacklight" car il faut aller sur une page sésurisé et comme je l'ai dit plus haut , impossible d'afficher la page!

[Malekal_morte]

Je pense que ton problème d'affichage de pages sécurisées vient de norton.

 

Je t'ai mis BlackLight ici : http://www.malekal.com/download/blbeta.exe

[cesar56]

bonjour

désolé de ne pas répondre plus tôt, je n'arrive pas à télécharger "blacklight" car il faut aller sur une page sésurisé et comme je l'ai dit plus haut , impossible d'afficher la page!

ouf j'ai réussi grace à un site qui le mettait directement en lien ! Donc voici le rapport :

09/03/06 18:25:49 [info]: BlackLight Engine 1.0.46 initialized

09/03/06 18:25:49 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/03/06 18:25:50 [Note]: 7019 4

09/03/06 18:25:50 [Note]: 7005 0

09/03/06 18:25:53 [Note]: 7006 0

09/03/06 18:25:53 [Note]: 7011 1092

09/03/06 18:25:53 [Note]: 7026 0

09/03/06 18:25:53 [Note]: 7026 0

09/03/06 18:25:53 [Note]: 7024 3

09/03/06 18:25:53 [info]: Hidden process: C:\windows\system32\wahikadeuw.exe

09/03/06 18:25:53 [Note]: FSRAW library version 1.7.1019

09/03/06 18:29:39 [info]: Hidden file: c:\WINDOWS\system32\wahikadeuw_nav.dat

09/03/06 18:29:39 [Note]: 10002 1

09/03/06 18:29:40 [info]: Hidden file: c:\WINDOWS\system32\wahikadeuw.dat

09/03/06 18:29:40 [Note]: 10002 1

09/03/06 18:29:40 [info]: Hidden file: C:\windows\system32\wahikadeuw.exe

09/03/06 18:29:40 [Note]: 10002 1

09/03/06 18:29:43 [info]: Hidden file: c:\WINDOWS\system32\wahikadeuw_navps.dat

09/03/06 18:29:43 [Note]: 10002 1

09/03/06 18:39:50 [Note]: 7007 0

[Malekal_morte]

Ha non pour tes pages sécurisées, ce doit etre le malware.

Je me souviens que des personnes ne pouvaient plus aller sur hotmail (page sécurisée) avec ce malware.

Ca devrait revenir une fois qu'on l'a tué.

 

Suis la procédure avec Ashampoo décrite ici : http://www.malekal.com/Adware.Magic_Control.html

 

A l'issu de cette procédure, relance un scan F-Secure BlackLight et colle le rapport ici.

[cesar56]

Ha non pour tes pages sécurisées, ce doit etre le malware.

Je me souviens que des personnes ne pouvaient plus aller sur hotmail (page sécurisée) avec ce malware.

Ca devrait revenir une fois qu'on l'a tué.

 

Suis la procédure avec Ashampoo décrite ici : http://www.malekal.com/Adware.Magic_Control.html

 

A l'issu de cette procédure, relance un scan F-Secure BlackLight et colle le rapport ici.

 

Salut et merci de m'aider

j'ai fait au mieux ce que tu m'as dit :

antivir me trouve toujours dial/edgaccess.1 et le suprime , mais il revient

je ne peut toujours pas avoir acces au site securisé, mais voici le rapport blacklight

 

09/05/06 09:31:31 [info]: BlackLight Engine 1.0.46 initialized

09/05/06 09:31:31 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/05/06 09:31:31 [Note]: 7019 4

09/05/06 09:31:31 [Note]: 7005 0

09/05/06 09:31:35 [Note]: 7006 0

09/05/06 09:31:35 [Note]: 7011 1148

09/05/06 09:31:36 [Note]: 7026 0

09/05/06 09:31:36 [Note]: 7026 0

09/05/06 09:31:36 [Note]: 7024 3

09/05/06 09:31:36 [info]: Hidden process: C:\windows\system32\wahikadeuw.exe

09/05/06 09:31:36 [Note]: FSRAW library version 1.7.1019

09/05/06 09:35:37 [info]: Hidden file: c:\WINDOWS\system32\wahikadeuw_nav.dat

09/05/06 09:35:37 [Note]: 10002 1

09/05/06 09:35:37 [info]: Hidden file: c:\WINDOWS\system32\wahikadeuw.dat

09/05/06 09:35:37 [Note]: 10002 1

09/05/06 09:35:40 [info]: Hidden file: C:\windows\system32\wahikadeuw.exe

09/05/06 09:35:40 [Note]: 10002 1

09/05/06 09:35:41 [info]: Hidden file: c:\WINDOWS\system32\wahikadeuw_navps.dat

09/05/06 09:35:41 [Note]: 10002 1

09/05/06 09:45:33 [Note]: 7007 0

 

wahikadeuw me semble louche

[cesar56]

j'ai refait le "nettoyage" dont tu m'as indiqué le lien (ashampoo) et il m'a trouvé : wahikadeuw

j'ai suivi les instructions mais je n'ai toujours pas acces aux pages sécurisé ...

[Malekal_morte]

Voici la manipulation à effectuer en entier

Merci de bien vouloir :

- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.

- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.

- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

 

 

Affiche les extensions des fichiers, ce sera plus simple :

-- Ouvre le poste de travail

-- Clic sur le menu outils en haut à droite puis options des dossiers

-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-- Décoche l'option "Masquez les extensions des fichiers dont le type est connu"

 

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :

-- Ouvre le poste de travail

-- Double-clic sur le disque C

-- Menu Fichier en haut puis Nouveau et nouveau dossier

-- Tapez BFU dans le nom du nouveau dossier

 

Télécharge Brute Force Uninstaller (de Merijn) et tu mets le fichier dans le dossier C:\BFU.

 

Rends toi dans le dossier C:\BFU :

-- Ouvre le poste de travail

-- Double-clic sur le disque C

-- Double-clic sur le dossier BFU

-- Sur le fichier BFU.zip, fais un clic droit / Extraire ici ou Extraire tout.

 

Tu dois maintenant avoir dans le dossier BFU, deux fichiers : Bfu.exe et Bfu.zip

 

Ensuite :

FAIS UN CLIC-DROIT ICI de Metallica et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

 

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe.

Si ce n'est pas le cas, recommence les opérations, doucement, cela ne sert à rien d'aller plus loin tant que tu n'as pas ces deux fichiers.

 

 

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

 

____

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

-- Ouvre le poste de travail

-- Double clic sur le disque C

-- Double clic sur le dossier Windows

-- Double clic sur le dossier system32

-- Fais un clic droit sur le fichier wahikadeuw.exe puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier wahikadeuw.dat puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier wahikadeuw_nav.dat puis dans le menu déroulant clic sur supprimer

-- Fais un clic droit sur le fichier wahikadeuw_navps.dat puis dans le menu déroulant clic sur supprimer

 

-- Navigue dans les dossiers et supprime, si existant :

C:\Program Files\MaillSkinner

 

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

 

Aide : N'hésite pas à consulter l'Aide ewido pour tout problème.

 

 

____

 

 

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

 

 

-- Copie/Colle ici les rapports sans en oublier :

- du scan Kaspersky

- ewido

- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt

- Le contenu du fichier : C:\egd.txt

- Relance un scan sur BlackLight et copie/colle le rapport ici

- ainsi qu'un nouveau log HijackThis