Forum Clubic

Aie aie, je crois que j'ai chopé un virus

Bonjour, voila hier je me baladais sur internet quand soudain une page de spam s’ouvrit et fit lagger mon pc comme pas possible, depuis, une barre de recherche est apparue ( je n’en ai jamais installée ! ) et des sites ( de spam toujours et un plus particulièrement : broadcoster s’ouvrent toutes les 2 mins ) j’ai lancée nod32, ad-aware, spybot ils m’en ont trouvé quelques dizaines ( alors qu’avant rien pendant plus de 6 mois ) mais malgré tous sa , sa persiste…

voici la barre en question : http://img182.imageshack.us/my.php?image=b…internetsy2.jpg

et un dossier sous program fils se nommant VSadd me "pose quelques doutes " :??: il est apparu en même temp que le virus…

voici sous le gestionaire de périph’ , si quelques choses vous semble anormal dites le moi, ( dont le 7eme en partant du haut qui me bouffe mon C2D à 99% :heink: )… : http://img360.imageshack.us/my.php?image=59292283ae5.jpg

Merci d’avance :super:

regarde ce bon tuto : http://www.clubic.com/forum/index.php?showtopic=323378

merci pour ce tuto, je vais y jeter un oeil :super:

j’ai suivit quelques instructions du tutos mais rien n’y fait, j’enlève tous les spywares avec spybot, je rédémarre l’ordi et ils sont encore là ! les pages internets de “spam” s’ouvrent toujours et de plus en plus de mes fichiers system32 sont condaminés, je ne peux pas faire de restauration et j’aimerai éviter de formater…que dois je faire ??

PS : au démarrage il me manque un fichier system32 : vgqwdrgy.dll

ou pourrais je le retrouver ??

merci

J’ai installé le dernier kapersky ( préconisé ds le tuto ) et je dois dire qu’il est assez efficace, il m’a trouvé pas mal d’adware “sur” des DLL ( system32 ) je n’ai d’autre choix que de faire “supprimer”, enfait ils vont dans un dossier de sauvegare comme ceci :

http://img487.imageshack.us/my.php?image=adwareordixy2.jpg

Puisse je maintenant les supprimés ou ne rien faire en sachant qu’ils font partis du system32 ??

merci

Tu peux les supprimer, ils ne font pas partie des processus windows. :jap:

De plus Kasprsky réalise une copie de sauvegarde des fichiers. :jap:

Une solution pour éviter ce genre de mésaventures au hasard d’une visite sur une page web inconnue:
Firefox + l’extension NoScript :super:

salut ça marche vraiment bien firefox?? et avec cette extansion?
ps : je suis sous IE^^

Cela fonctionne super bien! Tu peux autoriser l’execution de scripts pour les sites en qui tu as confiance, d’une manière temporaire ou permanente. En plus, cela bloque aussi certaines pubs “flash”!
Que du bonheur :super:
Par contre, c’est en anglais (mais bon, pas besoin d’être bilingue pour comprendre).

Je vous remercie tous pour votre aide, c’est vraiment cool ! Mais…^^…mais jai encore une question, de temps en temps ( toutes les 10 min ) un message ( en anglais ) s’affiche sur le bureau me disant qu’une erreur sur “regestry quelques chose” ( je ferai un screen quand il reviendra ) est apparue et qu’il faut que je me rende sur un site ( un site “virusé” je suppose ) mais cete fenêtre est vraiment chiante ! je ne sais pas si c’est encore un spyware ou autre saloperies et c’est donc pour sa que je vous demande ce que vous en pensez et si vous avez une idée pour la supprimée…merci.

rien ne t’empeche d’essayer Firefox comme tu l’as fais automatiquement avec IE lorsque tu as débuter sous Windows car installé par défaut.
Ce n’est pas pour rien qu’il y a beaucoup de personne ici et sur d’autres forum informatique conseille ce navigateur.

Pour moi il est génial. Si tu as une question sur Firefox ou un problème, n’hésite pas :wink:

Ok , bah je vais m’essayer a firefox alors :wink: …sinon j’ai fais le scan hijackthis et voici ce qu’il me met :
O4 - HKLM\…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\…\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\…\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe”
O4 - HKLM\…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe”
O4 - HKLM\…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\…\Run: [WinSysModule] dsrss.exe
O4 - HKLM\…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\…\Run: [Regscan] C:\WINDOWS\System32\regscan.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/…trolLite_EN.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\…\{CD63B104-7640-430A-8432-1C910B9C4D18}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_75.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O20 - Winlogon Notify: pmnlm - C:\WINDOWS\System32\pmnlm.dll
O20 - Winlogon Notify: xxyvwuv - xxyvwuv.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

Sinon, quelqu’un pourrait me renseigner sur un certain “regscan.exe” dans le system32 ?? car mon antivirus me le rabache tout le temps avec également un “svchost32.exe”…

merci.

Ok ! merci, je supprime…sinon comment sa pas tout le log ? j’ai copier-coller ce qu’il ma donné dans le bloc note, ce n’est pas ça qu’il faut faire ? :whistle:

PS : une petite réparation de windows avec le cd est elle envisageable ou cela ne servira à rien ( en sachant que j’ai supprimé pas mal de fichiers dont certains faisant partie du system32 ).

je retente un scan avec hijack même si sur le dernier il ne m’a sorti “que” sa. :heink:

voila le nouveau scan :

Logfile of HijackThis v1.99.1
Scan saved at 20:54:08, on 15/03/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft\svhost32.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Alexb44\Mes documents\Log.Word.Divers…etc\logiciels telechargés\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6E5BE865-0282-459B-91CF-18AD69E39813} - C:\WINDOWS\System32\pmnlm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {A46D226E-FE71-40CF-B847-A0E2D450F9C8} - C:\WINDOWS\system32\xxyvwuv.dll (file missing)
O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\System32\ovvwxyjx.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\…\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\…\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM\…\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe”
O4 - HKLM\…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe”
O4 - HKLM\…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\…\Run: [WinSysModule] dsrss.exe
O4 - HKLM\…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”
O4 - HKCU\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\…\Run: [Regscan] C:\WINDOWS\System32\regscan.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Pense-bête.lnk = C:\Program Files\Broderbund\PrintMaster\PMREMIND.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/…trolLite_EN.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\…\{CD63B104-7640-430A-8432-1C910B9C4D18}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_75.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O20 - Winlogon Notify: pmnlm - C:\WINDOWS\System32\pmnlm.dll
O20 - Winlogon Notify: xxyvwuv - xxyvwuv.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

A arreter et à virer: C:\Program Files\Microsoft\svhost32.exe

A fixer, car inutile:
O2 - BHO: (no name) - {A46D226E-FE71-40CF-B847-A0E2D450F9C8} - C:\WINDOWS\system32\xxyvwuv.dll (file missing)

O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\System32\ovvwxyjx.dll (file missing)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O20 - Winlogon Notify: xxyvwuv - xxyvwuv.dll (file missing)

A fixer:
O4 - HKLM\…\Run: [ms] C:\Program Files\Microsoft\svhost32.exe

A fixer:
O4 - HKLM\…\Run: [WinSysModule] dsrss.exe

O4 - HKCU\…\Run: [Regscan] C:\WINDOWS\System32\regscan.exe

Je ne connais pas, mais jamais vu sur une machine saine: (à fixer)

O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_75.dll

O20 - Winlogon Notify: pmnlm - C:\WINDOWS\System32\pmnlm.dll

Comment tu fais pour avoir autant de trucs néfastes sur ton pc? :heink: :smiley:

:jap:

Oui, et surtout il faudrait qu’il remette en question ça façon d’utiliser son pc et internet. :neutre: :smiley:

Je vous remercie vraiment pour votre aide :super: sans ça, je pense que j’aurais fait pas mal de conneries :whistle: …

Sinon je tiens à préciser un truc ( c’est pas méchant bien entendu :ane: ) : je n’ai eu absolument AUCUNE merde sur mon pc depuis que je l’ai ( plus de 6 mois ), tout est arrivé d’un coup ( je dis bien TOUT ), j’étais sur google, une page s’est ouverte et vous connaissez la suite…je ne suis pas du genre à aller sur certain sites “sensibles” ou les risques de choper pas mal de “saloperies” est assez élevé. Voila, je voulais mettre ça au clair car certains doutes sur mon utilisation d’internet ( et de mon pc en général ) planaient dans l’air… :wink: