problème de virus?? "résolu"

juan_gonzalez · le 16 mai 2005

Bonjour,

J'ai entendu parler en bien de votre site et ayant un problème avec mon ordinateur je me permet de venir poster un message sur ce forum...

Depuis moins d'une semaine mon antivirus (Avast) m'ouvre des fenêtres d'avertissement comme quoi il a trouvé un adware ou un cheval de troie.

J'ai donc entrepris de faire analyser mon ordinateur en mettant à jour la base virale et le programme. Après l'analyse il ne m'a rien trouvé. Pourtant les fenêtre continuent de souvrir! Que puis-je faire?

Pour plus d'info:

Adware:

Fichier: http://static.topconverting.com/activex/cxtpls_loader.exe

Nom du logiciel malveillant: Win32:Apropo-3 [Adw]

Type de logiciel malveillant: Adware

Version VPS: 0520-0, 16.05.2005

(pour celui là il me propose d'abandonner la connexion)

Un autre Adware:

Fichier: C:\WINDOWS\exdl.exe

Nom du logiciel malveillant: Win32:Exdl [Adw]

Type de logiciel malveillant: Adware

Version VPS: 0520-0, 16.05.2005

(pour celui là je peux le mettre en quarantaine, le supprimer ou le déplacer/renommer)

Cheval de troie:

Fichier: http://install.xxxtoolbar.com/ist/scripts/...load\PxB1A

Nom du logiciel malveillant: JS:Istbar [Trj]

Type de logiciel malveillant: Cheval de Troie

Version VSP: 0520-0, 16.05.2005

(Il me propose d'abandonner la connexion)

Je vous remercie d'avance de me dire ce que je pourrais faire pour pouvoir m'en sortir En attendant je vous souhaite une excellente soirée!!

Modifié le 6 juin 2005 par juan_gonzalez

queruak · le 16 mai 2005

Bonjour juan_gonzalez, bonjour à tous,

Bienvenue sur Zebulo-Sécurité !

Poste un rapport Hijackthis.

http://www.merijn.org/files/hijackthis.zip

-- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

--- cliquer sur 'Scan', l'affichage est instantané.

--- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

--- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

--- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

--- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

--- attendre l'analyse et la réponse.

juan_gonzalez · le 16 mai 2005

Voila le scan:

Logfile of HijackThis v1.99.1

Scan saved at 21:59:07, on 16.05.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\msnmsgrs.exe

C:\Program Files\Media Access\MediaAccK.exe

C:\Program Files\ISTsvc\istsvc.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\Program Files\BullsEye Network\bin\bargains.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\devldr32.exe

C:\DOCUME~1\GRGORY~1.GON\LOCALS~1\Temp\fca0IVf.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\GRGORY~1.GON\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE /partner AQ3

O4 - HKLM\..\Run: [Wanadoo Messager.exe] "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" /background

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [strmsnmsgr] msnmsgrs.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

O4 - HKLM\..\RunServices: [strmsnmsgr] msnmsgrs.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [strmsnmsgr] msnmsgrs.exe

O4 - Startup: Bluewin.lnk = ?

O4 - Global Startup: Bluewin.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c6.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

queruak · le 16 mai 2005

Rebonsoir,

Je regarde ton rapport,réponse dans quelques instants.

le 16 mai 2005

Bonsoir juan gonzalez, queruak, bonsoir à tous. Je regarde le rapport réponse dans un moment.

Edit grillé... Toujours aussi rapide Queruak :-(

Modifié le 16 mai 2005 par Stonangel

queruak · le 16 mai 2005

Rebonsoir,

-1-Télécharge et installe CleanUp !

http://cleanup.stevengould.org/

-2-Termine le(s) processus suivant(s).

-msnmsgrs.exe

-MediaAccK.exe

-MediaAccess.exe

-istsvc.exe

-bargains.exe

-fca0IVf.exe

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->terminer processus.

-3-Désinstalle via Ajout/suppression des programmes du panneau de configuration ,le(s) programme(s) suivant(s).

-Media Access

-ISTsvc

-ISTbar

-BullsEye Network

-4-Assure toi d'avoir accés à tous les fichiers.

Poste de travail
Menu "Outils", "Option des dossiers", onglet "Affichage" :

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis "Appliquer".

-5-Lance Hijackthis,scan,et coche les lignes en gras ci-dessous.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_f.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe

O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE /partner AQ3

O4 - HKLM\..\Run: [Wanadoo Messager.exe] "C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" /background

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [strmsnmsgr] msnmsgrs.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [bullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe

O4 - HKLM\..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

O4 - HKLM\..\RunServices: [strmsnmsgr] msnmsgrs.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [strmsnmsgr] msnmsgrs.exe

O4 - Startup: Bluewin.lnk = ?

O4 - Global Startup: Bluewin.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/bridge-c6.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/website.ocx

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab30149.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

-6-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf Hijackthis,puis clique sur "Fix checked"

-7-Redémarre en mode sans echec.

Comment démarrer Windows XP en mode sans échec

-8-Supprime les fichiers et dossiers suivants.

C:\WINDOWS\system32\msbe.dll<-le fichier

C:\WINDOWS\system32\msnmsgrs.exe <-le fichier.<--Fais attention à la syntaxe.

C:\Program Files\ISTsvc<-le dossier

C:\Program Files\ISTbar<-le dossier

C:\Program Files\Media Access<-le dossier

C:\Program Files\BullsEye Network<-le dossier

-9-Lance et éxecute CleanUp !

-10-Redémarre normalememt et poste un nouveau log hijackthis pour verification.

queruak · le 16 mai 2005

Bonsoir à tous,

Bonsoir juan gonzalez, queruak, bonsoir à tous. Je regarde le rapport réponse dans un moment.

Edit grillé... Toujours aussi rapide Queruak

504032[/snapback]

Salut Stonangel :-P

juan_gonzalez · le 18 mai 2005

Rebonsoir,

Hello,

Alors j'ai fait ce que tu m'as dit de faire. Cependant je n'ai pas tout réussi à faire:

Le processus -fca0IVf.exe n'était pas présent je n'ai pas pu l'arréter

Je n'ai pas pu désinstaller les programme -ISTbar et -BullsEye Network car ils n'étaient pas présent dans la liste des programmes.....

Dans le rapport Hijackthis, je n'ai pas trouvé:

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe

En mode sans echec je n'ai pas trouvé tous les dossier/ficher à effacer:

C:\WINDOWS\system32\msbe.dll<-le fichier

C:\Program Files\ISTsvc<-le dossier

C:\Program Files\Media Access<-le dossier

Voila pour ce que je n'ai pas pu faire. Par contre j'ai un autre petit problème... Lorsque j'ai redémarrer après avoir éxecuter cleanup (en mode sans echec) l'affichage n'est plus pareil.

Je ne sais pas comment elle s'appelle, mais la barre se trouvant en bas de l'ecran (ou s'est marqué Démarrer, là ou sont mis les pages qui sont ouvertes...) Et bien elle est toute grise et carrée. Alors qu'avec XP les bords sont plus arrondis et la couleur est verte. Là, la couleur est grise (je peux changer la couleur, j'ai vu ou ça se passe, mais je me demande quand même la raison pour laquelle ça a changé!)

Il y a aussi les pages que j'ouvre qui ont changé...

Est-ce que tu comprend ce que je veux dire ou je dois mieux expliquer... merci de m'eclaircir...

Bonne soirée

queruak · le 18 mai 2005

Bonsoir,

Poste s'il te plait un nouveau rapport Hijackthis pour vérification.

Lorsque j'ai redémarrer après avoir éxecuter cleanup (en mode sans echec) l'affichage n'est plus pareil.
Je ne sais pas comment elle s'appelle, mais la barre se trouvant en bas de l'ecran (ou s'est marqué Démarrer, là ou sont mis les pages qui sont ouvertes...) Et bien elle est toute grise et carrée. Alors qu'avec XP les bords sont plus arrondis et la couleur est verte. Là, la couleur est grise (je peux changer la couleur, j'ai vu ou ça se passe, mais je me demande quand même la raison pour laquelle ça a changé!)

J'avais noté ce phenomene chez beacoup d'internautes apres infections par clickme,

MediaAccess,istsvc,bargains...

i

l y a aussi les pages que j'ouvre qui ont changé.

Je n'ai pas compris ta question.Tu parles de page de démarrage,ou de favoris ?

As tu toujours ces problemes ?

J'ai entendu parler en bien de votre site et ayant un problème avec mon ordinateur je me permet de venir poster un message sur ce forum...

Depuis moins d'une semaine mon antivirus (Avast) m'ouvre des fenêtres d'avertissement comme quoi il a trouvé un adware ou un cheval de troie.

J'ai donc entrepris de faire analyser mon ordinateur en mettant à jour la base virale et le programme. Après l'analyse il ne m'a rien trouvé. Pourtant les fenêtre continuent de souvrir! Que puis-je faire?

juan_gonzalez · le 19 mai 2005

Bonsoir,

Poste s'il te plait un nouveau rapport Hijackthis pour vérification.

J'avais noté ce phenomene chez beacoup d'internautes apres infections par clickme,

MediaAccess,istsvc,bargains...

i

Je n'ai pas compris ta question.Tu parles de page de démarrage,ou de favoris ?

As tu toujours ces problemes ?

505020[/snapback]

Voila le nouveau rapport: