winantivirus et Cie : RESOLU !!!

freed · le 3 février 2007

Bonjour,

je suis actuellement sur le pc de ma fille.

Sous IE comme sous Firefox elle est bombardée de pub winanti truc ou de drive clean bidule, en français ou en anglais (winanti truc installé il y a longtemps par elle malgré mes avertissements ...).

Spybot passé, rogueRemover passé, Ad-aware passé, regedit avec nettoyage à la main fait, smitfraudfix passé (il y a longtemps).

Mon analyse perso d'amateur via HijackThis n'a rien révélé.

Si je m'en remets à vous c'est en dernier ressort ! (je ne suis ici que jusqu'à lundi soir ...)

Merci.

Modifié le 4 février 2007 par freed

bibi26 · le 3 février 2007

Bonjour,

Télécharge HijackThis de Merijn sur ton bureau. Ouvre-le et clique sur Do a system scan and save a logfile, poste le rapport dans ta prochaine réponse.

Télécharge Blacklight (de F-Secure); clique sur I ACCEPT au bas de la page. Sauvegarde le sur ton Bureau.

Ouvre BlackLight et accepte la licence; clique sur Scan puis sur Next.

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. Ne pas choisir l'option Rename : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe.

Modifié le 3 février 2007 par bibi26

freed · le 3 février 2007

Merci de me prendre en charge.

Voici le rapport hijackThis :

Logfile of HijackThis v1.99.1

Scan saved at 18:07:51, on 03/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\netdde.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\rnamfler\naofsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\LXSUPMON.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\program files\rnamfler\naomf.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

c:\program files\rnamfler\radprcmp.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Documents and Settings\fred\Bureau\telechargement\blbeta.exe

C:\Documents and Settings\fred\Bureau\outils\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [wrna3ls] C:\program files\rnamfler\naomf.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger avec Star Downloader - C:\Program Files\Star Downloader\sdie.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} (NowStarter Control) - http://www.clubbox.co.kr/neo.fld/NowStarter.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128331824609

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ACE4346B-403B-49AC-9F0C-F95F2953A97F}: NameServer = 84.103.237.142 86.64.145.142

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: RdnaoFlSvc - Unknown owner - C:\Program Files\rnamfler\naofsvc.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Le rapport de F-secure :

02/03/07 18:05:24 [info]: BlackLight Engine 1.0.55 initialized

02/03/07 18:05:24 [info]: OS: 5.1 build 2600 (Service Pack 2)

02/03/07 18:05:26 [Note]: 7019 4

02/03/07 18:05:26 [Note]: 7005 0

02/03/07 18:05:29 [Note]: 7006 0

02/03/07 18:05:29 [Note]: 7011 1956

02/03/07 18:05:29 [Note]: 7026 0

02/03/07 18:05:51 [Note]: FSRAW library version 1.7.1021

02/03/07 18:22:10 [Note]: 2000 1012

02/03/07 18:22:35 [Note]: 7007 0

bibi26 · le 3 février 2007

Citation
Spybot passé, rogueRemover passé, Ad-aware passé, regedit avec nettoyage à la main fait, smitfraudfix passé (il y a longtemps).

Télécharge Smitfraudfix (supprime-le si tu l'as déjà) et met-le sur ton bureau.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Ouvre Smitfraudfix, appuie sur le chiffre 1 et sur la touche Entrée de ton clavier pour créer un rapport des fichiers responsables de l'infection. Poste-le dans ta prochaine réponse.

Modifié le 3 février 2007 par bibi26

freed · le 3 février 2007

Merci à toi.

SmitFraudFix v2.138

Rapport fait à 20:01:48,56, 03/02/2007

Executé à partir de C:\Documents and Settings\fred\Bureau\telechargement\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fred

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\fred\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\fred\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

bibi26 · le 3 février 2007

1-Clique sur le bouton Démarrer et sur Panneau de configuration (ou Démarrer -> Paramètres -> Panneau de configuration selon les versions) et double-clique sur un bouton avec un nom qui ressemble à Ajout/Suppression de programmes. Une liste va apparaître, désinstalle le programme suivant (si tu le trouve) :

-FlashGet : Infecté de l'adware Cydoor

2-Enlève Smitfraudfix et Blacklight

3-Télécharge AVG Anti-Spyware. Installe le logiciel en double-cliquant dessus et laisse toi guider par l'assistant. Après l'installation, si AVG Anti-Spyware ne c'est pas ouvert automatiquement, ouvre-le. Clique sur Mise à jour, décoche la case Télécharger et installer les mises à jour automatiquement et clique sur Commencer la mise à jour. Attends que la mise à jour soit terminée et clique sur Analyse et sur Analyse complète du système. Une fois l'analyse terminée, clique sur Action recommandée et sur Quarantaine. Clique sur Appliquer toutes les actions, sur Enregistrer le rapport et sur Enregistrer le rapport sous, sauvegarde le rapport AVG Anti-Spyware et ferme le logiciel. Poste le rapport dans ta prochaine réponse.

Modifié le 3 février 2007 par bibi26

freed · le 3 février 2007

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 21:40:38 03/02/2007

+ Résultat de l'analyse:

C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\CONFLICT.5\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\CONFLICT.6\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\CONFLICT.7\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\CONFLICT.8\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\UERSV_0001_N91S2108NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\UWA6PV_0001_N91M2107NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\jwkppgoa.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\system32\vogyumov.exe -> Not-A-Virus.Downloader.Win32.WinFixer.r : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

J'ai été ennuyé pendant le scan par AVG et un certain Virtumonde ???

bibi26 · le 3 février 2007

Télécharge VundoFix (par Atribune) sur ton Bureau.

Ouvre VundoFix afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique sur YES
Le bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

freed · le 3 février 2007

re,

voici donc lr rapport :

VundoFix V6.1.4

Checking Java version...

Java version is 1.5.0.4

Java version is 1.5.0.6

Scan started at 11:32:16 30/12/2006

Listing files found while scanning....

No infected files were found.

VundoFix V6.3.5

Checking Java version...

Java version is 1.5.0.4

Java version is 1.5.0.6

Scan started at 21:48:54 03/02/2007

Listing files found while scanning....

C:\WINDOWS\Config\xepafx.dll

C:\WINDOWS\Config\xfapex.bak1

C:\WINDOWS\Config\xfapex.bak2

C:\WINDOWS\Config\xfapex.ini

C:\WINDOWS\system32\bpueeqxy.dll

C:\WINDOWS\system32\cskvgvoi.dll

C:\WINDOWS\system32\iovgvksc.ini

C:\WINDOWS\system32\pmxuafvs.dll

C:\WINDOWS\system32\svfauxmp.ini

Beginning removal...

Attempting to delete C:\WINDOWS\Config\xepafx.dll

C:\WINDOWS\Config\xepafx.dll Has been deleted!

Attempting to delete C:\WINDOWS\Config\xfapex.bak1

C:\WINDOWS\Config\xfapex.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\Config\xfapex.bak2

C:\WINDOWS\Config\xfapex.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\Config\xfapex.ini

C:\WINDOWS\Config\xfapex.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\cskvgvoi.dll

C:\WINDOWS\system32\cskvgvoi.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\iovgvksc.ini

C:\WINDOWS\system32\iovgvksc.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\pmxuafvs.dll

C:\WINDOWS\system32\pmxuafvs.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\svfauxmp.ini

C:\WINDOWS\system32\svfauxmp.ini Has been deleted!

Performing Repairs to the registry.

Done!

bibi26 · le 3 février 2007

Peux-tu poster un nouveau rapport HijackThis ?

Connexion

Pas encore inscrit ?

winantivirus et Cie : RESOLU !!!

Messages recommandés

freed

bibi26

freed

bibi26

freed

bibi26

freed

bibi26

freed

bibi26

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer