pc contaminé et echec du mode sans échec*RESOLU*

[balzac76]

voici la suite des opérations :

 

j'ai executé le cleaner.bat qui donne les messages suivants pour chaque fichier pendant son exécution:

- un périférique ne fonctionne pas correctement

-impossible de modifier l'attribut " nom du fichier"

 

j'ai vidé la restauration du système et redémarré

 

j'ai réexécuté cleaner.bat qui donne le même résultat

 

dois je faire un point de restauration système maintenant ?

 

je n'ai toujours pas réessayé le mode sans échecs

 

voici les logs

 

Impossible de supprimer olbllfhi.dll

Impossible de supprimer rubyqkhm.dll

Impossible de supprimer ykejeyur.dll

Impossible de supprimer yxkxqmdh.dll

 

-----------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 12:02:23, on 08/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

C:\Program Files\Softwin\BitDefender9\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\program files\softwin\bitdefender9\bdnagent.exe

C:\program files\softwin\bitdefender9\bdswitch.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\maintenance\backups\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boursorama.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fr9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [bDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "C:\Program Files\Softwin\BitDefender9\bdnagent.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] "C:\Program Files\Softwin\BitDefender9\bdswitch.exe"

O4 - HKLM\..\Run: [hpppta] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1159281443250

O17 - HKLM\System\CCS\Services\Tcpip\..\{4F7C0B5F-C124-47D8-90A1-96241E979B5C}: NameServer = 80.10.246.130 80.10.246.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{4F7C0B5F-C124-47D8-90A1-96241E979B5C}: NameServer = 80.10.246.130 80.10.246.3

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

-------------------------------------------------------------------------------------------

 

merci pour la suite , le pc fonctionne correctement, je n'ai pas eu d'affichage de "winantiviruspro2006"

[WawaSeb]

Bonsoir balzac76,

 

dois je faire un point de restauration système maintenant ?

 

---> Non, lorsque tu réactives la restauration du système, Windows crée automatiquement un point de restauration !

 

---> Ton rapport HijackThis est toujours propre...

 

---> Le mode sans échec devrait fonctionner, c'est probablement Vundo qui te le bloquait !

 

 

1) Télécharge Killbox (par Option^Explicit)

 

- Décompresse-le sur le bureau

 

 

* Ouvre Killbox

-- Coche la case [X] "Delete on reboot"

-- Coche la case [X] "All Files"

-- Clique sur l'icône jaune avec le dossier et retrouve les fichiers suivants (tu dois chaque fois recliquer sur l'icône pour ajouter les 4 fichiers) :

 

C:\Documents and Settings\Propriétaire\Local Settings\Temp\olbllfhi.dll

C:\Documents and Settings\Propriétaire\Local Settings\Temp\rubyqkhm.dll

C:\Documents and Settings\Propriétaire\Local Settings\Temp\ykejeyur.dll

C:\Documents and Settings\Propriétaire\Local Settings\Temp\yxkxqmdh.dll

 

* Clique sur la croix blanche sur fond rouge

-- Au message "File will be Removed on Reboot, do you want to reboot now" clique sur OUI

-- Redémarre ton ordinateur s'il ne le fait pas automatiquement

 

* Aprés son redémarrage supprime le dossier C:\!Killbox

* Préviens-moi s'il t'affiche le message : "pending file rename operations registry data has been removed by external process" mais continue la procédure jusqu'au bout...

 

 

 

2) Re-teste le mode sans échec...

 

 

---> Tiens-moi au courant, même si tout semble réglé, il restera quelques recommandations à suivre...

 

 

Merci pour ta confiance en mon travail... et en ce forum !

Modifié le 8 novembre 2006 par WawaSeb

[balzac76]

je pense avoir franchi un pas !

 

j'ai exécuté killbox mais il n'a pas supprimé les fichiers, j'ai alors rebooté en mode sans échec, qui a marché,

ce m"a alors rassuré.

je me suis mis en commande dos et j'ai fait un del des fichiers qui a marché.... c'est super

bitdefender signalait le virus virtumonde dedans mais heureusement le bloquait

 

ce qui m'a donné confiance dans le forum, à part les conditions d'inscription, c'est la qualité des réponses que j'ai pu y voir et la précision des instructions données.

le dialogue avec toi m'a conforté dans ce sens, encore bravo

heureusement que la solidarité existe face au comportement voyou de certaines sociétés ou associations de malfaiteurs.

 

en parlant de bidefender (que j'ai acheté) est-ce une bonne protection ?

 

a plus tard

[WawaSeb]

Bonsoir balzac76,

 

j'ai exécuté killbox mais il n'a pas supprimé les fichiers, j'ai alors rebooté en mode sans échec, qui a marché,

ce m"a alors rassuré.

je me suis mis en commande dos et j'ai fait un del des fichiers qui a marché.... c'est super

 

----> C'est toi qui a fait ce travail, c'est à moi de te féliciter !

 

 

en parlant de bidefender (que j'ai acheté) est-ce une bonne protection ?

 

----> Personnellement, je préfère les antivirus plus légers et gratuits ; comme tu le vois, aucune protection n'est fiable à 100 % sur Internet...

 

 

1) Relance Internet Explorer, clique sur "Outils", puis sur "Options Internet", dans l'onglet "Avancé", vérifie la version de ta console JAVA : SUN - JRE 1.5....... (Microsoft ou Sun, celle qui est cochée...)

 

----> Poste-la moi sur ce forum...

 

 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

 

Je suis ravi d'avoir pu t'aider...

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

1) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

 

1 ) Gardez une version de Windows légale et à jour

2 ) Activez le centre de sécurité

3 ) Utilisez FireFox

4 ) Evitez les sites douteux, illégaux, pornographiques, ...

5 ) Méfiez-vous des programmes gratuits (financés par...)

6 ) Fuyez le "Peer To Peer" (Kazaa, Bearshare, ...)

7 ) Gardez un Antivirus à jour !

8 ) Ne cliquez jamais sur des liens non annoncés dans une

messagerie instantannée

9 ) N'ouvrez jamais de pièce jointe non prévue dans un mail !

 

 

 

2) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

3) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

 

Merci pour ta confiance !

 

Au plaisir !

[balzac76]

bonjour wawaseb

 

je vois que l'on est arrivé presque à la fin, voici ce que j'ai lu sur la version java:

 

Java(Sun)

-utilisez Java 2 1.4.4_02 - applet -

 

apparamment ce n'est pas à jour ?

 

j'ai lu sur un autre forum que l'on pouvait augmenter la sécurité en fermant certains ports, c'est une notion abstraite pour moi, mais cette question doit peut être faire l'objet d'un nouveau sujet ?

 

qu'en penses tu ?

 

à bientôt

[WawaSeb]

Bonsoir balzac76,

 

apparamment ce n'est pas à jour ?

 

--> Effectivement, ce n'est pas la dernière version...ce qui laisse des failles de sécurité et permet aux malware's de revenir...

 

---> Télécharge ici la dernière version de JAVA : http://www.java.com/fr/download/manual.jsp

 

---> Après téléchargement, va dans le panneau de configuration --> Ajout/Suppression de programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour combler les failles présentes dans cette ancienne version.

 

---> Redémarre et installe la nouvelle version

 

---> Retourne alors sur le site de Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

 

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version ici : http://www.filehippo.com/download_java_runtime/

 

 

j'ai lu sur un autre forum que l'on pouvait augmenter la sécurité en fermant certains ports, c'est une notion abstraite pour moi, mais cette question doit peut être faire l'objet d'un nouveau sujet ?

 

---> Normalement, ta LiveBox intègre un pare-feu et un routage NAT ; c'est donc elle qui "ramasse" les attaques extérieures. Si ta version de BitDefender intègre un autre pare-feu ou que celui du Centre de Sécurité est activé, je ne vois pas de raison valable pour bloquer des ports... (encore faut-il suivre les règles de base énoncées ci-dessus)

 

---> Zebulon offre cependant un test de sécurité que tu peux lancer, si cela te rassure...

 

 

Laisse-moi te souhaiter une excellente soirée, je reste disponible si besoin !

 

A bientôt !