Ordi archi buggé!!!

[illo]

Bonnjour,

 

Je m'en remets en vous en dernière solution.

Mon pc a été infecté par plusieurs virus il y a 3 semaines: fenêtres publicitaires intempestives; arrêt soudain de mon navigateur internet (j'ai utilisé Opera, Firefox, IE); fenêtre de Shockwave m'indiquant que le navigateur a fait une opération illégale etc. ...

J'ai tenté plusieurs choses pour tenter d'éradiquer les virus: Adaware/Windefender/asquared/Antivir/Spybot etc...

 

Je sais vraiment plus quoi faire, le PC n'est pas réparé et loin de là!

J'ai moins de fenêtres publicitaires mais mon navaigateur internet plante trop souvent!

 

Voici mon rapport Hijack que je viens de faire:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:25:06, on 14/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\FolderSize\FolderSizeSvc.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\WINDOWS\system32\sistray.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijack This\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [keyboard] c:\\kybrdfh_10.exe

O4 - HKLM\..\Run: [xqbf8d61] RUNDLL32.EXE w001f9eb.dll,n 002f8d5f0000000a001f9eb

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [moio] C:\PROGRA~1\FICHIE~1\moio\moiom.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\wenfax.dll (file missing)

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\lvj2091oe.dll (file missing)

O20 - Winlogon Notify: PropertySystem - C:\WINDOWS\system32\wenfax.dll (file missing)

O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\wenfax.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

 

Merci beaucoup pour votre aide.

 

Je suis sous Windows XP avec un antivirus: Avast...

[bruce lee]

Bonjour illo et bienvenue sur zebulon

 

En attendant que j'analyse ton rapport, desinstalle antivir ou avast.

[illo]

Bonjour illo et bienvenue sur zebulon

 

En attendant que j'analyse ton rapport, desinstalle antivir ou avast.

 

Je le fais de ce pas!

Merci de m'aider

 

EDIT

Tout est enlevé!

Modifié le 14 septembre 2006 par illo

[bruce lee]

re,

 

 

La procedure est assez longue a faire, prend bien ton temps, et tout ira bien.

 

 

Si durant la procedure ci bas, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

 

1/Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

 

 

 

2/ Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

 

http://metallica.geekstogo.com/alcanshorty.bfu fais un clic droit sur le lien et choisis

 

"Enregistrer la cible sous..." afin de télécharger alcanshorty.bfu (de Metallica)

 

**Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi

 

que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux

 

fichiers dans le dossier C:\BFU : alcanshorty.bfu et BFU.exe (très important).

 

 

3/Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

 

4/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

 

5/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

FlashGet

 

si ce programme est present desinstalle le.

 

 

6/lance hijackthis en cliquant sur do a scan system only coche ces lignes:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [keyboard] c:\\kybrdfh_10.exe

O4 - HKLM\..\Run: [xqbf8d61] RUNDLL32.EXE w001f9eb.dll,n 002f8d5f0000000a001f9eb

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\wenfax.dll (file missing)

O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\lvj2091oe.dll (file missing)

O20 - Winlogon Notify: PropertySystem - C:\WINDOWS\system32\wenfax.dll (file missing)

O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\wenfax.dll (file missing)

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

7/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

8/supprime ce qui est en gras:

 

C:\Program Files\ FlashGet<== tout le dossier

 

 

9/

demarrer,rechercher,clique sur tous les fichiers et tout les dossiers, clique sur les deux petites fleches a cotes de options avancées

et coche rechercher dans les fichiers et dossiers cachés.

 

recherche (demarrer/rechercher) et supprime ce fichier si tu le trouves:

 

w001f9eb.dll

 

 

10/ Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

 

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

 

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

 

 

11/Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\alcanshorty.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

 

12/redemarre en mode normal

 

 

13/ rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser moiom.exe qui se trouve ici:

 

C:\program files \FICHIE~1\moio\moiom.exe

 

et post le resultat.

 

 

14/utilise blacklight:

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

 

15/poste aussi le rapport d'ewido ainsi qu'un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

[illo]

13/ rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser moiom.exe qui se trouve ici:

 

C:\program files \FICHIE~1\moio\moiom.exe

 

et post le resultat.

 

 

14/utilise blacklight:

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

 

15/poste aussi le rapport d'ewido ainsi qu'un nouveau log hijackthis.

 

J'ai suivi toute la procédure sauf ces points là:

- je n'ai pas de fichiers "moiom.exe"

- je ne peux pas lancer Blacklight, il me dit que je n'ai pas les autorisations nécessaires!

[illo]

...

Modifié le 14 septembre 2006 par illo

[illo]

...

Modifié le 14 septembre 2006 par illo

[illo]

...

 

Merci de supprimer les messages au dessus Firefox a buggé!

Modifié le 14 septembre 2006 par illo

[bruce lee]

Bonjour,

 

Blacklight, tu l'utilises bien en mode normal? Si non, refais le mais en mode normal

[illo]

Bonjour,

 

Blacklight, tu l'utilises bien en mode normal? Si non, refais le mais en mode normal

 

Oui, oui!

 

Voilà le message qui s'affiche quand je veux lancer Blacklight:

 

"F-secure Blacklight could not acquire necessary privileges (DeDebugPrivilege)

- Your computer settings may prevent acquiring these privileges

A malicious program might have disabled these priviliges"