Pop-Ups à gogo..

[Dr.Antivirus]

Bonjour à tous et à toutes.

L'autre jour, l'ancien ordi que je n'utilise jamais a atrappé un mechant Adware (je pense).

Ce sont les telechargements interminables et non controlés des utilisateurs de l'ordi qui sont à l'origine des problèmes..

RESULTATS: Pop-ups à gogo..clavier qui marche à moitié..ordi qui plante insupportablement..boites de dialogue publicitaires (Type Defensenetsurfage et disquedurprotection ETC ...)

J'ai tant essayé de l'eradiqué manuellement..en mode sans echec meme ..Resultat>> "0"

SVP pouvez-vous m'aider??

 

Voila mon rapport Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:23:30, on 18/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

O4 - HKLM\..\Run: [bDMCon] "D:\Program Files\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "D:\Program Files\Softwin\BitDefender8\bdnagent.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [bM5f1d0b84] Rundll32.exe "C:\WINDOWS\system32\qwlsbydb.dll",s

O4 - HKLM\..\Run: [5c2e3818] rundll32.exe "C:\WINDOWS\system32\ttqketed.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1206162100948

O17 - HKLM\System\CCS\Services\Tcpip\..\{620785ED-3902-4E17-A8A7-5ACE4A3CFDC7}: NameServer = 6.6.6.1 217.194.129.30

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 3843 bytes

 

 

 

 

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

O4 - HKLM\..\Run: [bM5f1d0b84] Rundll32.exe "C:\WINDOWS\system32\qwlsbydb.dll",s

O4 - HKLM\..\Run: [5c2e3818] rundll32.exe "C:\WINDOWS\system32\ttqketed.dll",b

 

Ce sont les lignes qui causent l'infection..

Je vous joint aussi un exemple de Pop-Ups, et les fichiers de System32 les plus récents..

 

 

 

 

 

-------------------------------------------------------------------------------------------------------

 

 

 

 

 

 

 

 

Merci d'avance..

Modifié le 18 juin 2008 par Dr.Antivirus

[Dr.Antivirus]

Voila les News:

 

 

 

 

-----------------------------------------------------------------------------------

 

 

------------------------------

 

 

 

A L'AIDE!!!!!!!

[pear]

Bonjour Docteur,

Voici la potion:

 

Imprimez ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharger Malwarebytes' Anti-Malware (MBAM)

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes.

Double-cliquer sur l'icône Download_mbam-setup.exe sur le bureau pour démarrer l'installation.

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet).

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue.

La fenêtre principale de MBAM s'affiche :

Vérifier que "Exécuter un examen complet" est coché et cliquer sur le bouton Rechercher pour démarrer l'analyse.

L' analyse prendra un certain temps, soyez patient !

Un message s'affichera, en indiquant la fin .

Cliquer sur OK pour continuer.

Cliquer "Afficher les résultats".Si des malwares ont été détectés, leur liste s'affiche.

 

En cliquant sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Fermer le bloc-note.

Fermer MBAM en cliquant sur Quitter.

Poster le rapport .

[oGu]

Salut Pear!

 

Dr Antivirus, pourquoi ne vas-tu pas cherché de l'aide sur ton propre forum "Eradication malware" ???

[Dr.Antivirus]

Merci pour la moquerie oGu, je m'y attendait, mais quand un virus n'a que quelque jours..(Sorti le 11.6.2008 à ce qui parait..) ..

 

Bon pear :

Je te joins le rapport:

 

Malwarebytes' Anti-Malware 1.17

Version de la base de données: 846

 

15:39:11 18/06/2008

mbam-log-6-18-2008 (15-39-03).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 96372

Temps écoulé: 19 minute(s), 54 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 4

Clé(s) du Registre infectée(s): 15

Valeur(s) du Registre infectée(s): 3

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 11

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\WINDOWS\system32\nnnmkHWo.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\nvrsma.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\jwwasmpp.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\nnnnKbYp.dll (Trojan.Vundo) -> No action taken.

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2cb2eeb3-6afe-423a-ace4-a49f9f6f98f9} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{2cb2eeb3-6afe-423a-ace4-a49f9f6f98f9} (Trojan.Vundo) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{514a5c49-0c7d-42c3-a71b-38864a269b7a} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{514a5c49-0c7d-42c3-a71b-38864a269b7a} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\service.sys (Rootkit.Agent) -> No action taken.

HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{a0b4ffea-d466-49a8-9bb0-b7bbd2fcb449} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a0b4ffea-d466-49a8-9bb0-b7bbd2fcb449} (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnnkbyp (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5c2e3818 (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM5f1d0b84 (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a0b4ffea-d466-49a8-9bb0-b7bbd2fcb449} (Trojan.Vundo) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnmkhwo -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnmkhwo -> No action taken.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\ttqketed.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\detekqtt.ini (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\nnnmkHWo.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\oWHkmnnn.ini (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\oWHkmnnn.ini2 (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\nvrsma.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\jwwasmpp.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\qwlsbydb.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\nnnnKbYp.dll (Trojan.Vundo) -> No action taken.

C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.

C:\Documents and Settings\Enfants\Local Settings\Temp\gosF.tmp (Dialer) -> No action taken.

 

 

Et le rapport Hijackthis:

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:08:46, on 18/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\Program Files\Softwin\BitDefender8\bdnagent.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Real Player 11 GOLD\rpbrowserrecordplugin.dll

O2 - BHO: {bc91b438-6a33-13b9-e6f4-000626b15fbe} - {ebf51b62-6000-4f6e-9b31-33a6834b19cb} - C:\WINDOWS\system32\wcttjnou.dll

O4 - HKLM\..\Run: [bDMCon] "D:\Program Files\Softwin\BitDefender8\bdmcon.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "D:\Program Files\Softwin\BitDefender8\bdnagent.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1206162100948

O17 - HKLM\System\CCS\Services\Tcpip\..\{620785ED-3902-4E17-A8A7-5ACE4A3CFDC7}: NameServer = 6.6.6.1 217.194.129.30

O20 - Winlogon Notify: winijp32 - C:\WINDOWS\SYSTEM32\winijp32.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

 

--

End of file - 3921 bytes

Modifié le 18 juin 2008 par Dr.Antivirus

[oGu]

Merci pour la moquerie oGu, je m'y attendait, mais quand un virus n'a que quelque jours..(Sorti le 11.6.2008 à ce qui parait..) ..

 

C'est surtout que tu ne sais pas désinfecter une machine en fait, ni ici ni sur ton forum...La date de sortie du virus ne change rien à la question!

 

Enfin bon, je dis ça, je dis rien hein!

 

Désolé pour le parasitage Pear, vous ne m'en voudrez pas!

Modifié le 18 juin 2008 par oGu

[pear]

Bonsoir,

 

Vous avez cliqué sur "Supprimer la sélection" ?

[Dr.Antivirus]

Oui bien sur!!

[Dr.Antivirus]

O2 - BHO: {bc91b438-6a33-13b9-e6f4-000626b15fbe} - {ebf51b62-6000-4f6e-9b31-33a6834b19cb} - C:\WINDOWS\system32\wcttjnou.dll

 

 

C'est aussi une ligne pas rassurante..

 

 

Si ce que tu as à dire ne vaut pas mieux que le silence,tais-toi

(Confucius)...Bien-dit Pear..

 

Merci pour ton aide..

Modifié le 18 juin 2008 par Dr.Antivirus

[pear]

C'est aussi une ligne pas rassurante..

 

Oui, et il y en d'autres:

 

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

 

Vous allez télécharger Combofix.

Auparavant, et pour pour éviter quelque mauvaise manoeuvre avec ce logiciel très puissant,lisez attentivement ce

Tutoriel:

 

 

Télécharger combofix.exe de sUBs

et sauvegardez le sur le bureau

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

*Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

1)Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

Nous allons d'abord installer la Console de Récupération sur le pc .

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Si c'est déjà fait, passez au point 2).

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

* Lorsque ce sera terminé, un message disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher:

postez en le contenu .

 

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

2)

* Taper sur la touche 1 pour démarrer le scan.

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Lorsque le scan sera terminé,( cela pourrait prendre un certain temps),un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt