Trojan horse, je n'arrive pas à virer fcca.dll

[pompounette]

Bonjour,

 

Lorsque je surfe sur Internet ou dans mon explorateur, Antivir me détecte un cheval de Troie à chacun de mes clics. Le message est le suivant :

 

C:\Windows\system32\fccca.dll is the trojan horse TR/Dldr.CoHookQ.2

 

Hélas, je n’arrive pas à effacer le fichier fccca.dll, même en mode sans échec. Je vous envoie le scan de HijackThis.

 

Logfile of HijackThis v1.99.1

Scan saved at 13:37:08, on 27/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\syscntrl.exe

C:\sfx.exe

C:\WINDOWS\system32\slserv.exe

C:\PROGRA~1\WinZip\winzip32.exe

C:\Antivir\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\fccca.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\zango\zangohook.dll (file missing)

O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\vtsts.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll (file missing)

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exe

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: fccca - C:\WINDOWS\SYSTEM32\fccca.dll

O20 - Winlogon Notify: hgday - hgday.dll (file missing)

O20 - Winlogon Notify: vtsts - C:\WINDOWS\System32\vtsts.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)

O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe

O23 - Service: NT Net Driver (NtNav) (NtNav) - Unknown owner - C:\WINDOWS\system32\netnav.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

Merci de votre aide!

[bruce lee]

bonjour,

je regarde ton log retour dans 30 minutes

[bruce lee]

bon, o peut dire que sur ton PC c'est un nid de bestiole.

fais ce qui suit:

 

demarre en mode sans echec (F8 au demarrage).

lance hijackthis en cliquant sur scanner seulement tu coches ces lignes et tu cliques sur fixer objet:

 

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\fccca.dll

O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\zango\zangohook.dll (file missing)

O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\vtsts.dll

O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll (file missing)

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exe

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: fccca - C:\WINDOWS\SYSTEM32\fccca.dll

O20 - Winlogon Notify: hgday - hgday.dll (file missing)

O20 - Winlogon Notify: vtsts - C:\WINDOWS\System32\vtsts.dll

O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)

O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe

O23 - Service: NT Net Driver (NtNav) (NtNav) - Unknown owner - C:\WINDOWS\system32\netnav.exe (file missing)

 

recherche et supprimes ce qui est en gras:

 

C:\WINDOWS\system32\ fccca.dll

c:\program files\ zango

C:\WINDOWS\System32\ vtsts.dll

C:\Program Files\ Zango Programs

C:\ sfx.exe

msnchecker.exe

C:\WINDOWS\web\ related.htm

C:\WINDOWS\system32\ netnav.exe

 

redemarre en mode normal et repost un log pour verification.

Modifié le 27 décembre 2005 par bruce lee

[Invité Stonangel]

bruce lee,

 

Ca ne partira pas comme ça. Tu es confronté à une variante coriace de Vundo: Conhook.

 

Utilise le fix d'Atribune:

 

Imprime ces instructions, ou colle les dans un fichier texte (pour lecture en mode Sans Échec).

 

Télécharge VundoFix (par Atribune) de ce lien, et sauvegarde le sur ton Bureau :

http://www.atribune.org/downloads/VundoFix.exe

 

Double-clique VundoFix.exe afin d'en extraire les fichiers.

Ceci va créer un nouveau dossier VundoFix sur ton Bureau.

Redémarre en mode Sans Échec : tapote la touche F8 au démarrage, puis choisis "Mode Sans Échec" à partir de l'écran d'options (utilisant les flèches du clavier) et valide avec "Entrée". Choisis ton compte utilisateur usuel, et non "Administrateur".

 

Ouvre le dossier VundoFix et double-clique sur KillVundo.bat

Tu verras cet avertissement :

 

VundoFix V2.15 by Atri

By using VundoFix you agree that you are doing so at your own risk

Press enter to continue....

 

Appuie sur "Entrée" une fois.

Tu verras ceci :

 

Please Type in the filepath as instructed by the forum staff

and then press enter:

 

À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous :

 

C:\Filepath\file.dll

 

Appuie sur Entrée pour la suite.

Tu verras ceci :

 

Please type in the second filepath as instructed by the forum

staff then press enter:

 

À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous:

 

C:\Filepath\elif.*

 

Appuie sur Entrée pour la suite.

L'outil va faire son travail, puis HijackThis! devrait se lancer; s'il ne se lance pas automatiquement, prière de le lancer. Clique sur "Do a system scan only".

 

Coche ces lignes (possible que la ligne O2 n'y soit plus), puis clique FIX CHECKED:

 

<Insérer les lignes ici>

 

Ferme HijackThis!.

 

Appuie sur "Entrée" pour fermer le programme, puis redémarre ton PC.

Lorsque redémarré, continue avec les instructions qui suivent :

 

Télécharge Cleanup40 de ce lien, et sauvegarde le sur ton Bureau :

http://www.stevengould.org/downloads/cleanup/CleanUp40.exe

 

Lance Cleanup! en double-cliquant sur le fichier téléchargé.

 

Sélectionne:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Clique sur le bouton CleanUp! pour lancer le programme.

S'il te demande de redémarrer, clique NO.

 

Fais un ActiveScan en ligne chez Panda ici :

http://www.pandasoftware.com/products/activescan.htm

 

Tu dois utiliser Internet Explorer pour faire ce scan; on te demandera d'installer un contrôle ActiveX; Accepte.

Coche "My Computer" pour le scan

Lorsque terminé, clique "See report", puis "Save report"; sauvegarde le rapport.

 

Copie/colle le rapport de Panda dans ta prochaine réponse, et poste un nouveau rapport HijackThis! ainsi que le rapport de VundoFix situé dans le dossier Vundofix (vundofix.txt).

 

Tu devras l'utiliser deux fois avec:

 

C:\WINDOWS\system32\fccca.dll

 

puis

 

C:\WINDOWS\System32\vtsts.dll

 

Bonne chance

[bruce lee]

stonangel,

je ne connais cet utilitaires(d'ailleur j'en connais pas beaucoup) pourrais tu m'expliquer a quoi il sert et quand l'utiliser.

par avance merci

[Invité Stonangel]

Regarde dans le log les entrées suivantes:

 

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\fccca.dll< ConHook voir ici http://www.castlecops.com/tk17461-dll_random_char.html

 

O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\vtsts.dll< Vundo

 

 

deux BHO accompagnées de deux O20

 

O20 - Winlogon Notify: fccca - C:\WINDOWS\SYSTEM32\fccca.dll

 

O20 - Winlogon Notify: vtsts - C:\WINDOWS\System32\vtsts.dll

 

Il va falloir procéder en trois étapes:

 

éliminer la première variante, puis la seconde et... le reste.

 

Première étape:

 

Imprime ces instructions, ou colle les dans un fichier texte (pour lecture en mode Sans Échec).

 

Télécharge VundoFix (par Atribune) de ce lien, et sauvegarde le sur ton Bureau :

http://www.atribune.org/downloads/VundoFix.exe

 

Double-clique VundoFix.exe afin d'en extraire les fichiers.

Ceci va créer un nouveau dossier VundoFix sur ton Bureau.

Redémarre en mode Sans Échec : tapote la touche F8 au démarrage, puis choisis "Mode Sans Échec" à partir de l'écran d'options (utilisant les flèches du clavier) et valide avec "Entrée". Choisis ton compte utilisateur usuel, et non "Administrateur".

 

Ouvre le dossier VundoFix et double-clique sur KillVundo.bat

Tu verras cet avertissement :

 

VundoFix V2.15 by Atri

By using VundoFix you agree that you are doing so at your own risk

Press enter to continue....

 

Appuie sur "Entrée" une fois.

Tu verras ceci :

 

Please Type in the filepath as instructed by the forum staff

and then press enter:

 

À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous :

 

C:\WINDOWS\system32\fccca.dll

 

Appuie sur Entrée pour la suite.

Tu verras ceci :

 

Please type in the second filepath as instructed by the forum

staff then press enter:

 

À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous:

 

C:\WINDOWS\system32\acccf.*

 

Appuie sur Entrée pour la suite.

L'outil va faire son travail, puis HijackThis! devrait se lancer; s'il ne se lance pas automatiquement, prière de le lancer. Clique sur "Do a system scan only".

 

Coche ces lignes (possible que la ligne O2 n'y soit plus), puis clique FIX CHECKED:

 

<O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\fccca.dll

 

O20 - Winlogon Notify: fccca - C:\WINDOWS\SYSTEM32\fccca.dll >

 

Ferme HijackThis!.

 

Appuie sur "Entrée" pour fermer le programme, puis redémarre ton PC.

Lorsque redémarré, continue avec les instructions qui suivent :

 

Télécharge Cleanup40 de ce lien, et sauvegarde le sur ton Bureau :

http://www.stevengould.org/downloads/cleanup/CleanUp40.exe

 

Lance Cleanup! en double-cliquant sur le fichier téléchargé.

 

Sélectionne:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Clique sur le bouton CleanUp! pour lancer le programme.

S'il te demande de redémarrer, clique NO.

 

Fais un ActiveScan en ligne chez Panda ici :

http://www.pandasoftware.com/products/activescan.htm

 

Tu dois utiliser Internet Explorer pour faire ce scan; on te demandera d'installer un contrôle ActiveX; Accepte.

Coche "My Computer" pour le scan

Lorsque terminé, clique "See report", puis "Save report"; sauvegarde le rapport.

 

Copie/colle le rapport de Panda dans ta prochaine réponse, et poste un nouveau rapport HijackThis! ainsi que le rapport de VundoFix situé dans le dossier Vundofix (vundofix.txt).

[bruce lee]

ok j'ai compris merci de m'avoir expliquer.

Est ce que ca te derrange si je demande a toi quand j'ai des doutes comme pour par exemple certaines lignes ou autres?

[Invité Stonangel]

Pas de problème

[pompounette]

Merci pour votre aide, c’est sympa. Stonangel, ta méthode semble marcher puisque je n’ai plus de nouvelle du fichier fccca.dll qui a bien été viré de mon PC, ouf !

 

Une petite question sur les deux lignes à rentrer dans KillVundo.dat de VundoFix.exe : à quoi sert la ligne C:\Windows\system32\acccf.* (la deuxième ligne à rentrer) ?

 

Je me fais l’autre fichier, le vtsts.dll, demain. en attandant, je vous envoie les logs issues de Panda, Hijackthis ! et VundoFix.

 

 

 

PANDA

 

 

Incident Status Location

 

Adware:adware/sqwire Not desinfected C:\WINDOWS\SYSTEM32\tsuninst.exe

Adware:adware/exact.bargainbuddyNot desinfected C:\WINDOWS\SYSTEM32\bbchk.exe

Spyware:spyware/new.net Not desinfected C:\WINDOWS\NDNuninstall6_38.exe

Adware:adware/maxifiles Not desinfected C:\PROGRAM FILES\FICHIERS COMMUNS\InetGet

Adware:adware/savenow Not desinfected Windows Registry

Adware:Adware/Maxifiles Not desinfected C:\Program Files\Fichiers communs\Download\freeprodtb.exe

Adware:Adware/Maxifiles Not desinfected C:\Program Files\Fichiers communs\InetGet\mc-110-12-0000172.exe

Adware:Adware/Maxifiles Not desinfected C:\Program Files\Fichiers communs\Windows\services32.exe

Adware:Adware/Maxifiles Not desinfected C:\Program Files\Fichiers communs\Windows\mc-110-12-0000172.exe

Adware:Adware/Sqwire Not desinfected C:\Program Files\Fichiers communs\zfoi\zfoid\zfoic.dll

Spyware:Spyware/Virtumonde Not desinfected C:\Antivir\backups\backup-20051227-220212-257.dll

Virus:W32/Sdbot.ftp Disinfected C:\WINDOWS\system32\i

Adware:Adware/Sqwire Not desinfected C:\WINDOWS\system32\tsuninst.exe

Adware:Adware/404Search Not desinfected C:\WINDOWS\system32\exclean.exe

Virus:W32/Sdbot.FYU.worm Disinfected C:\WINDOWS\system32\eraseme_85420.exe

Virus:W32/Sdbot.FYU.worm Disinfected C:\WINDOWS\system32\syscntrl.exe

Spyware:Spyware/New.net Not desinfected C:\WINDOWS\NDNuninstall6_38.exe

Spyware:Spyware/New.net Not desinfected C:\WINDOWS\NDNuninstall6_90.exe

Spyware:Spyware/New.net Not desinfected C:\WINDOWS\NDNuninstall6_98.exe

Adware:Adware/404Search Not desinfected C:\WINDOWS\exclean.exe

 

 

HIJACKTHIS!

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 23:26:01, on 27/12/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\syscntrl.exe

C:\sfx.exe

C:\WINDOWS\system32\slserv.exe

C:\Antivir\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\fccca.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\vtsts.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Anti-Virus Update Scheduler V1.39.12R] C:\sfx.exe

O4 - HKLM\..\RunOnce: [Panda_cleaner_237171] C:\WINDOWS\System32\ActiveScan\pavdr.exe 237171

O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: fccca - fccca.dll (file missing)

O20 - Winlogon Notify: vtsts - C:\WINDOWS\System32\vtsts.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Network Harware Detection (NetDDTC) (NetDDTC) - Unknown owner - C:\WINDOWS\system32\syscntrl.exe

O23 - Service: NT Net Driver (NtNav) (NtNav) - Unknown owner - C:\WINDOWS\system32\netnav.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

 

 

VUNDOFIX

 

 

 

VundoFix V2.15 by Atri

--------------------------------------------------------------------------------------

 

Listing files contained in the vundofix folder.

--------------------------------------------------------------------------------------

 

ReadMe.txt

killvundo.bat

vundo.reg

vundofix.txt

process.exe

 

--------------------------------------------------------------------------------------

 

Filepaths entered

--------------------------------------------------------------------------------------

 

The filepath entered was c:\windows\system32\fccca.dll

 

The second filepath entered was c:\windows\system32\acccf.*

 

--------------------------------------------------------------------------------------

 

Log from Process

--------------------------------------------------------------------------------------

 

 

Killing PID 140 'smss.exe'

 

Killing PID 720 'explorer.exe'

 

 

Killing PID 216 'winlogon.exe'

--------------------------------------------------------------------------------------

 

c:\windows\system32\fccca.dll Deleted sucessfully.

c:\windows\system32\acccf.* Deleted sucessfully.

 

Fixing Registry

--------------------------------------------------------------------------------------

 

 

 

 

Je me trompe ou il me reste du boulot? On dirait qu’il y a encore pas mal de chose à virer…

 

 

Bonne soirée

[Invité Stonangel]

Oui, il en reste encore...

 

Télécharge Killbox d'O^E à partir d'ici:

http://www.downloads.subratam.org/KillBox.exe

 

Ouvre KillBox, coche la case "Delete on reboot" et séléctionne All files.. Ne ferme pas le programme.

 

Démarrer>Exécuter, tape notepad, un fichier bloc-notes s'ouvre.

Ensuite Ctrl-A pour sélectionner tout le texte suivant, Ctrl-C pour le copier dans le presse papier:

 

C:\WINDOWS\SYSTEM32\tsuninst.exe

C:\WINDOWS\SYSTEM32\bbchk.exe

C:\WINDOWS\NDNuninstall6_38.exe

C:\PROGRAM FILES\FICHIERS COMMUNS\InetGet

C:\Program Files\Fichiers communs\Download\freeprodtb.exe

C:\Program Files\Fichiers communs\InetGet\mc-110-12-0000172.exe

C:\Program Files\Fichiers communs\Windows\services32.exe

C:\Program Files\Fichiers communs\Windows\mc-110-12-0000172.exe

C:\Program Files\Fichiers communs\zfoi\zfoid\zfoic.dll

C:\Antivir\backups\backup-20051227-220212-257.dll

C:\WINDOWS\system32\i

C:\WINDOWS\system32\tsuninst.exe

C:\WINDOWS\system32\exclean.exe

C:\WINDOWS\system32\eraseme_85420.exe

C:\WINDOWS\system32\syscntrl.exe

C:\WINDOWS\NDNuninstall6_38.exe

C:\WINDOWS\NDNuninstall6_90.exe

C:\WINDOWS\NDNuninstall6_98.exe

C:\WINDOWS\exclean.exe

 

Sur KillBox>File>Paste from Clipboard, clique ensuite sur la croix rouge sur fond blanc

Réponds oui au message qui va s'afficher.

 

Retélécharge VundoFix.

 

Imprime ces instructions, ou colle les dans un fichier texte (pour lecture en mode Sans Échec).

 

Télécharge VundoFix (par Atribune) de ce lien, et sauvegarde le sur ton Bureau :

http://www.atribune.org/downloads/VundoFix.exe

 

Double-clique VundoFix.exe afin d'en extraire les fichiers.

Ceci va créer un nouveau dossier VundoFix sur ton Bureau.

Redémarre en mode Sans Échec : tapote la touche F8 au démarrage, puis choisis "Mode Sans Échec" à partir de l'écran d'options (utilisant les flèches du clavier) et valide avec "Entrée". Choisis ton compte utilisateur usuel, et non "Administrateur".

 

Ouvre le dossier VundoFix et double-clique sur KillVundo.bat

Tu verras cet avertissement :

 

VundoFix V2.15 by Atri

By using VundoFix you agree that you are doing so at your own risk

Press enter to continue....

 

Appuie sur "Entrée" une fois.

Tu verras ceci :

 

Please Type in the filepath as instructed by the forum staff

and then press enter:

 

À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous :

 

C:\WINDOWS\System32\vtsts.dll

 

Appuie sur Entrée pour la suite.

Tu verras ceci :

 

Please type in the second filepath as instructed by the forum

staff then press enter:

 

À ce moment-ci, tape le chemin du fichier complet, tel que ci-dessous:

 

C:\WINDOWS\System32\ststv.*

 

Appuie sur Entrée pour la suite.

L'outil va faire son travail, puis HijackThis! devrait se lancer; s'il ne se lance pas automatiquement, prière de le lancer. Clique sur "Do a system scan only".

 

Coche ces lignes (possible que la ligne O2 n'y soit plus), puis clique FIX CHECKED:

 

O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\System32\vtsts.dll

 

O20 - Winlogon Notify: vtsts - C:\WINDOWS\System32\vtsts.dll

 

Ferme HijackThis!.

 

Appuie sur "Entrée" pour fermer le programme, puis redémarre ton PC.

Lorsque redémarré, continue avec les instructions qui suivent :

 

Télécharge Cleanup40 de ce lien, et sauvegarde le sur ton Bureau :

http://www.stevengould.org/downloads/cleanup/CleanUp40.exe

 

Lance Cleanup! en double-cliquant sur le fichier téléchargé.

 

Sélectionne:

 

* Empty Recycle Bins

* Delete Cookies

* Delete Prefetch files

* Cleanup! All Users

 

Clique sur le bouton CleanUp! pour lancer le programme.

S'il te demande de redémarrer, clique NO.

 

Fais un ActiveScan en ligne chez Panda ici :

http://www.pandasoftware.com/products/activescan.htm

 

Tu dois utiliser Internet Explorer pour faire ce scan; on te demandera d'installer un contrôle ActiveX; Accepte.

Coche "My Computer" pour le scan

Lorsque terminé, clique "See report", puis "Save report"; sauvegarde le rapport.

 

Copie/colle le rapport de Panda dans ta prochaine réponse, et poste un nouveau rapport HijackThis! ainsi que le rapport de VundoFix situé dans le dossier Vundofix (vundofix.txt).

Modifié le 27 décembre 2005 par Stonangel