Malware 'TSA' & 'Web Nexus Network'

[zaran]

Quelqu'un pourrait-il m'aider à me débarrasser de ces 2 fichus logiciels ( TSA & Web Nexus Network), dont je ne sais quand ni comment ils ont été instalés. Aucun désinstalateur n'y arrive!!!

 

Dans Documents et settings, 2 fichiers sont apparus, que je ne peux pas effacer: NTUSER.dat & netuser.dat.log

 

Web Nexus Network, lui réclame de se connecter sur un site qui propose que je télécharge un logiciel pour le désinstaller mais, mon anti-virus (avast) voit rouge car il détecte un trojan dans ce logiciel. Et puis, devoir télécharger un logiciel pour un désinstaller un autre, c'est étrange.

 

A tout hasard, voici le résultat de Hijackthis:

 

Logfile of HijackThis v1.99.1

Scan saved at 21:45:47, on 9/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\netdrvr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\oodag.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\CodeStuff\Starter\Starter.exe

D:\z001 Téléchargements\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\woqpck.exe reg_run

O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Windows Ocx Service] winocx.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterex...artload137a.exe

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\ugat.dll (file missing)

O20 - Winlogon Notify: wvusq - wvusq.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

 

Merci à ceux qui pourront m'apporter leur aide, car mon ordinateur à des sautes d'humeur! Parfaitemant connecté, il me dit que le document est vide, par example en allant sur Google.

[Invité Stonangel]

Bonsoir et bienvenue sur Zeb' Sécu.

 

Merci d'appliquer la procédure suivante:

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

- désinstallation d'Antivir

 

-- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

 

Auteur: megataupe

[zaran]

Voilà, j'ai suivi les instructions du précédent message, mais les 2 programmes restent impossibles à désinstaller (j'ai essayé en mode sans échec).

 

Voici le nouveau rapport HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 23:55:45, on 9/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\khfgg.dll

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sn.exe

O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Windows Ocx Service] winocx.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterex...artload137a.exe

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\ugat.dll (file missing)

O20 - Winlogon Notify: khfgg - C:\WINDOWS\SYSTEM32\khfgg.dll

O20 - Winlogon Notify: wvusq - wvusq.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

 

Vu l'heure tardive je n'aurais sans doute pas de réponse aujourd'hui. Ce n'est pas grave, je dois dormir chaque nuit.

 

Merci pour la suite.

 

Zaran

 

PS: Zut j'ai encore oublié de virer msn!

[Thanos]

salut zaran

 

Tu aurais dû continuer la discussion sur le précédent message que tu as envoyé!S'il te plait ne poste pas de

 

nouveau message ,utilise le bouton "répondre" entre "Flash" et "Nouveau"!Bon j'analyse ton rapport.

 

Télécharge VirtumundoBegone sur le bureau:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.

Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.

Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

Modifié le 9 décembre 2005 par charles ingals

[zaran]

Désolé pour mon erreur, nouveau message plutôt que réponse.

 

Je n'ai pas eu droit à l'écran bleu , mais voici les 2 rapport:

 

 

[12/10/2005, 0:51:27] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\7enpier\Bureau\VirtumundoBeGone.exe" )

[12/10/2005, 0:51:37] - Detected System Information:

[12/10/2005, 0:51:37] - Windows Version: 5.1.2600,

[12/10/2005, 0:51:37] - Current Username: Zaran (Admin)

[12/10/2005, 0:51:37] - Windows is in NORMAL mode.

[12/10/2005, 0:51:37] - Searching for Browser Helper Objects:

[12/10/2005, 0:51:37] - BHO 1: {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} ()

[12/10/2005, 0:51:37] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/10/2005, 0:51:37] - Checking for HKLM\...\Winlogon\Notify\khfgg

[12/10/2005, 0:51:37] - Found: HKLM\...\Winlogon\Notify\khfgg - This is probably Virtumundo.

[12/10/2005, 0:51:37] - Assigning {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} MSEvents Object

[12/10/2005, 0:51:37] - BHO list has been changed! Starting over...

[12/10/2005, 0:51:37] - BHO 1: {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} (MSEvents Object)

[12/10/2005, 0:51:37] - ALERT: Found MSEvents Object!

[12/10/2005, 0:51:37] - Finished Searching Browser Helper Objects

[12/10/2005, 0:51:37] - *** Detected MSEvents Object

[12/10/2005, 0:51:37] - Trying to remove MSEvents Object...

[12/10/2005, 0:51:38] - Terminating Process: IEXPLORE.EXE

[12/10/2005, 0:51:38] - Terminating Process: RUNDLL32.EXE

[12/10/2005, 0:51:38] - Disabling Automatic Shell Restart

[12/10/2005, 0:51:38] - Terminating Process: EXPLORER.EXE

[12/10/2005, 0:51:38] - Suspending the NT Session Manager System Service

[12/10/2005, 0:51:38] - Terminating Windows NT Logon/Logoff Manager

[12/10/2005, 0:51:38] - Re-enabling Automatic Shell Restart

[12/10/2005, 0:51:38] - File to disable: C:\WINDOWS\System32\khfgg.dll

[12/10/2005, 0:51:38] - Renaming C:\WINDOWS\System32\khfgg.dll -> C:\WINDOWS\System32\khfgg.dll.vir

[12/10/2005, 0:51:38] - ! File rename was unsucessful.

[12/10/2005, 0:51:38] - Attempting to Deny Access to C:\WINDOWS\System32\khfgg.dll

[12/10/2005, 0:51:39] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.

[12/10/2005, 0:51:39] - ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

 

[12/10/2005, 0:51:39] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.

[12/10/2005, 0:51:39] - Removing HKLM\...\Browser Helper Objects\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

[12/10/2005, 0:51:39] - Removing HKCR\CLSID\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

[12/10/2005, 0:51:39] - Adding Kill Bit for ActiveX for GUID: {00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

[12/10/2005, 0:51:39] - Deleting ATLEvents/MSEvents Registry entries

[12/10/2005, 0:51:39] - Removing HKLM\...\Winlogon\Notify\khfgg

[12/10/2005, 0:51:39] - Searching for Browser Helper Objects:

[12/10/2005, 0:51:39] - Finished Searching Browser Helper Objects

[12/10/2005, 0:51:39] - Finishing up...

[12/10/2005, 0:51:39] - A restart is needed.

[12/10/2005, 0:51:42] - Attempting to Restart via STOP error (Blue Screen!)

 

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 0:53:57, on 10/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\oodag.exe

C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet

 

Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} -

 

C:\WINDOWS\system32\khfgg.dll

O3 - Toolbar: Copernic Agent -

 

{F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program

 

Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467}

 

- C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) -

 

{EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

 

C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program

 

Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program

 

Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

 

C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R]

 

C:\sn.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir

 

PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Windows Ocx Service] winocx.exe

O8 - Extra context menu item: Chercher avec Copernic Agent -

 

res://C:\Program Files\Copernic

 

Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

O9 - Extra button: (no name) -

 

{193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} -

 

C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent -

 

{193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} -

 

C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent -

 

{688DC797-DC11-46A7-9F1B-445F4F58CE6E} -

 

C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} -

 

http://promo.dollarrevenue.com/webmasterex...martload137a.ex

 

e

O20 - Winlogon Notify: App Management -

 

C:\WINDOWS\system32\ugat.dll (file missing)

O20 - Winlogon Notify: khfgg - C:\WINDOWS\SYSTEM32\khfgg.dll

O20 - Winlogon Notify: wvusq - wvusq.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV

 

Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition

 

Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service

 

(AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program

 

Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) -

 

Macrovision Corporation - C:\Program Files\Fichiers

 

communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner -

 

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: Network DRV (NTDRV) - Unknown owner -

 

C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

 

Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH -

 

C:\WINDOWS\System32\oodag.exe

O23 - Service: MS Dns Service (WinNet) - Unknown owner -

 

C:\WINDOWS\system32\wincntrl.exe (file missing)

 

 

 

J'ai oublié de dire, dans le message précédent, que Antivir a détecté 10 virus ou malwares pour simplifier, en voici -je ne sais pas si c'est utile- la liste:

 

1- TR/Dldr.TSUpdate.F (2X = 2 endroit différents)

2- HEURISTIC/Backdoor.Generic

3- TR/StartPage.AW.1

4- PCK/Morphine (2X)

5- TR/Crypt.D.118

6- WORM/Sdbot.aad.312

7- TR/Dldr.Qoologic.AT

8- J'ai oublié de le noter

 

Merci

[Thanos]

Etonnant,Vundo est encore là! Bon on va faire ceci:

 

1/ Télécharge VundoFix.exe et mets-le sur le bureau.

 

2/ Double-clic sur VundoFix.exe

Cela créera un dossier VundoFix sur le bureau

 

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

 

4/ Ouvre le dossier VundoFix et double-clic sur KillVundo.bat

Tu auras cet avertissement :

 

VundoFix V2.13 by Atri

By using VundoFix you agree that you are doing so at your own risk

Press enter to continue....

 

 

Appuie sur la touche Entrée

Ensuite tu auras ce texte :

 

Type in the filepath as instructed by the forum staff

Then Press Enter, Then F6, Then Enter Again to continue with the fix.

 

 

Tape exactement ceci : C:\WINDOWS\SYSTEM32\khfgg.dll

 

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

 

Ensuite tu auras ce texte :

 

Please type in the second filepath as instructed by the forum staff

Then Press Enter, Then F6, Then Enter Again to continue with the fix.

Tape exactement ceci : C:\WINDOWS\SYSTEM32\ggfhk.*

 

-Valide puis appuie sur F6, puis entrée pour continuer le fix.

-Lance Hijackthis en gardant le fix ouvert.

-Dans HijackThis, coche les entrées suivantes et clique sur FIX CHECKED:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\khfgg.dll

O20 - Winlogon Notify: khfgg - C:\WINDOWS\SYSTEM32\khfgg.dll

 

* Après avoir fixé ces items, ferme Hijackthis et appuie sur une touche pour que l'ordinateur redémarre.

* En appuyant sur une touche provoque "Blue Screen of Death" c'est normal, ne t'en fais pas!

 

Après redémarrage, poste un nouveau rapport HJT.

[zaran]

Voilà, tout c'est déroulé normalement jusqu'à la fin de la deuxième citation, puis HijackThis s'est lancé, et sur l'écran de KillVundo il me disait que la commande deleted n'était pas... reconnue ou quelque chose comme ça.

 

Dans HijackThis, pas trace de '02 - BHO...

 

Et toujours pas d'écran bleu...

 

Puis je redémarre l'ordinateur normalement, je relance HJT, Et la ligne 02 - BHO était là. Je l'ai Réparée.

 

Voici le dernier rapport HJT:

 

Logfile of HijackThis v1.99.1

Scan saved at 1:41:45, on 10/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\oodag.exe

C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\WINDOWS\System32\rundll32.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sn.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Windows Ocx Service] winocx.exe

O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT

O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterex...artload137a.exe

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\ugat.dll (file missing)

O20 - Winlogon Notify: wvusq - wvusq.dll (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

[Thanos]

Bon vundo fix a fait son boulot!Je vais te laisser des instructions:d'ici une trentaine de minutes,la réponse ;)La ligne 02 était là quand tu as redémarré mais avec l'anotation "missing"!tu as bien fait de la fixer ,je te l'aurais demandé!

Modifié le 10 décembre 2005 par charles ingals

[Thanos]

-TéléchargeEasyCleaner(installe le dans son dossier)

 

-Télécharge Clean Up 40 (et installe le dans un répertoire à lui):

http://www.stevengould.org/software/cleanup/

 

redémarre le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Assure toi d'avoir accès à tous les fichiers.

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

-Ouvre Hijackthis=>"Open the Misc Tools Section"=> "Delete an NT service" ,dans la fenêtre qui s'ouvre entre le nom exact du service suivant:

 

WinNet

 

Fais la même chose avec le service suivant:

 

NTDRV

 

Valides puis cliques sur Back=>"Do a system scan only", et coche les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

 

O3 - Toolbar: (no name) - {EA0D26BD-9029-431A-86E0-83152D67828A} - (no file)

 

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sn.exe

O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe

O4 - HKCU\..\RunServices: [Microsoft messenger] msnger.exe

O4 - HKCU\..\RunServices: [Windows Ocx Service] winocx.exe

 

016 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterex...artload137a.exe

 

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\ugat.dll (file missing)

O20 - Winlogon Notify: wvusq - wvusq.dll (file missing

 

O23 - Service: Network DRV (NTDRV) - Unknown owner - C:\WINDOWS\system32\netdrvr.exe (file missing)

O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Ferme toutes les fenêtres, tous les programmes et clique surFix checked

 

-Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

-C:\sn.exe=>le fichier

 

Probablement dans C:\WINDOWS\system32

-mswindtc.exe=>le fichier

-msnger.exe=>le fichier

-winocx.exe=>le fichier

 

Si tu ne les trouves pas lance une recherche sur le disque dur.

 

-Vas voir dans la base de registre : Passe par Démarrer\Exécuter et tape regedit puis valide:

 

Repère la clé suivante: HKEY_CURRENT_USER , et vas jusqu'à la sous clé suivante en cliquant sur le signe +:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\

 

Recherche les entrées dans le panneau de droite et supprime si présentes(clic droit=>supprimer):

-mswindtc.exe

-msnger.exe

-winocx.exe

 

Si tu as le moindre doute, demande avant d'effacer quoique ce soit!

 

-Ouvre CleanUp40 et vas sur "clean up custom" et assure toi que seules ces cases sont cochées:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Puis lance le scan(cleanup)

 

-aide en image:(merci a Balltrap34)

http://pageperso.aol.fr/balltrap34/democleanup.htm

 

-Exécute EasyCleaner Registre et Inutiles.Ne pas toucher à la fonction doublons. Supprime tout ce qu'il te propose.

 

Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.

 

Apres on parlera sécurité,ton pc a des années de retard au niveau des mises à jour!

Modifié le 10 décembre 2005 par charles ingals

[zaran]

Petit souci,

 

Impossible de les effacer. HJT me demande de les désactiver d'abord. J'ai essayé ce qu'il proposait, mais cela n'a rien donné.

 

Comment faire alors?