Infection d'un spyware - Que faire?

Bossju · Juin 20, 2006, 1:00

Bonjour a tous,

Je me suis chopé un spyware je pense, et celui ci se caractérise par un triangle jaune qui clignote et qui dit "Security Alert" …

J’ai vu qu’il fallait faire un “scan” avec SmitFraudFit et vous montrer le rapport que voici :

SmitFraudFix v2.62

Rapport fait à 12:57:11,15, 20/06/2006
Executé à partir de D:\Software\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\atmclk.exe PRESENT !
C:\WINDOWS\system32\dcomcfg.exe PRESENT !
C:\WINDOWS\system32\hp???.tmp PRESENT !
C:\WINDOWS\system32\hp???.tmp PRESENT !
C:\WINDOWS\system32\ld???.tmp PRESENT !
C:\WINDOWS\system32\ot.ico PRESENT !
C:\WINDOWS\system32\regperf.exe PRESENT !
C:\WINDOWS\system32\simpole.tlb PRESENT !
C:\WINDOWS\system32\stdole3.tlb PRESENT !
C:\WINDOWS\system32\ts.ico PRESENT !
C:\WINDOWS\system32\1024\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Julien\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Julien\Favoris

C:\DOCUME~1\Julien\Favoris\Antivirus Test Online.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\ALLUSE~1\Bureau\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\Bureau\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Ma page d’accueil”

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7916f057-223f-4612-ac84-e882cbe043d4}"="bals"

[HKEY_CLASSES_ROOT\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
@="C:\WINDOWS\system32\hvcycg.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
@="C:\WINDOWS\system32\hvcycg.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Vous pouvez m’aider svp? ^^

lagazelle · Juin 20, 2006, 1:31

Salut Bossju,

Redémarre en mode sans échec.
Voir http://assiste.free.fr/p/comment/demarrer_…_sans_echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.

relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport

aimen · Juin 20, 2006, 1:32

tu telecharge ca Spybot - Search & Destroy 1.4
tu le mets a jour et redemmare ton PC en mode sans echec(F8 au demmarage)
tu lancez l’analyse (elle dure environ 1/4 heure) et tu supprime tout ca!!!!!!!!!!!!

Bossju · Juin 20, 2006, 4:42

Voila donc mon rapport :

SmitFraudFix v2.62

Rapport fait à 16:37:24,35, 20/06/2006
Executé à partir de D:\Software\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7916f057-223f-4612-ac84-e882cbe043d4}"="bals"

[HKEY_CLASSES_ROOT\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
@="C:\WINDOWS\system32\hvcycg.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
@="C:\WINDOWS\system32\hvcycg.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\regperf.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\hvcycg.dll -> Missing File

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7916f057-223f-4612-ac84-e882cbe043d4}"="bals"

[HKEY_CLASSES_ROOT\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
@="C:\WINDOWS\system32\hvcycg.dll"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{7916f057-223f-4612-ac84-e882cbe043d4}\InProcServer32]
@="C:\WINDOWS\system32\hvcycg.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Qu’est-ce que cela veut dire?

lagazelle · Juin 20, 2006, 4:56

Smitfraud a fait du ménage, dis moi si ton problème est résolu.
si c’est pas le cas,

Télécharge CCleaner et effectue un nettoyage
http://www.clubic.com/telecharger-fiche144…ap-cleaner.html
Note: Lors de l’installation, sur l’écran “Options d’installation”, décocher la case située devant “Ajouter la barre d’outils Yahoo! CCleaner”

Télécharger la version d’essai de ewido anti-malware depuis http://www.ewido.net/en/download/
L’installer. Important: Pendant l’installation, sur la page “Additional Options” décocher les deux options “Install background guard” et “Install scan via context menu”.
Lancer ewido anti-malware. Cliquer sur mise à jour (après avoir saisi les paramètres du proxy si nécessaire), puis sur Démarrer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.

Lancer ewido anti-malware et cliquer sur scanner puis sur Scan complet du système.
Si des fichiers infectés sont trouvés, garder l’option par défaut Supprimer (avec la ligne “Créer des copies de sauvegarde cryptées dans la quarantaine” cochée). Cocher aussi la case située devant “Effectuer cette action avec toutes les infections”.
A la fin du scan, Sauver le rapport (Menu Fichier—>Enregistrer sous…).

-Télécharge Hijackthis:
http://www.merijn.org/files/hijackthis.zip
-Crée un dossier nommé HijackThis et place le dedans.
-Exécute le et clique sur Do a scan and save log file.
-Colle ici ton rapport ouvert avec le bloc note, et colle celui de ewido.

Bossju · Juin 20, 2006, 5:01

Salut a toi Gazelle :jap: ,

En fait je crois bien qu’il a fait le ménage le ptit cmd.

Pour ce qui est de CCleaner je l’avais deja, pour ce qui est de ewido anti-malware, j’ai deja AdAware.

Mais qu’est-ce qu’a fait SmitFraudfix ? Il a enlever des clés du registre ?

Et c’est quoi Hijackthis stp ?

Merci de ta réponse

Edit : J’ai vu ce qu’est Hijackthis, très interessant

Bossju · Juin 20, 2006, 5:05

Voila le log de Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 17:04:51, on 20/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Apps\Antivirus McAfee\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Apps\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
D:\Apps\Antivirus McAfee\VsStat.exe
D:\Apps\Antivirus McAfee\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Apps\Antivirus McAfee\Avconsol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Apps\Power Dvd\PDVDServ.exe
C:\WINDOWS\system32\b1c474d6.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Apps\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Logitech\SetPoint\MediaPlayerMgr.exe
C:\WINDOWS\system32\mmc.exe
D:\Software\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Apps\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccyaww.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\Apps\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Apps\FlashGet\fgiebar.dll
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [RemoteControl] “D:\Apps\Power Dvd\PDVDServ.exe”
O4 - HKLM\…\Run: [b1c474d6.exe] C:\WINDOWS\system32\b1c474d6.exe
O4 - HKCU\…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU\…\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe”
O4 - HKCU\…\Run: [b1c474d6.exe] C:\Documents and Settings\Julien\Local Settings\Application Data\b1c474d6.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y’z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = D:\Apps\Adobe Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Apps\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Apps\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Apps\FlashGet\jc_all.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Apps\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Apps\FlashGet\flashget.exe
O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Apps\FlashGet\flashget.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: fccyaww - C:\WINDOWS\SYSTEM32\fccyaww.dll
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - D:\Apps\Antivirus McAfee\Avsynmgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Apps\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe

lagazelle · Juin 20, 2006, 5:11

installe quand meme ewido , il complète addaware et poste moi le rapport pendant que j’examine ton log hijackthis

Bossju · Juin 20, 2006, 5:18

Ok je l’installe mais ce sera un peu long je n’ai que 512 kb de reception lol.

Euh sinon lorsque je démarre Internet Explorer (meme si je n’utilise que Firefox) j’ai la page normale mais si j’attends un peu j’ai de nouveau un petit spyware qui arrive, je vais scaner tout ca ;D

lagazelle · Juin 20, 2006, 5:26

tu peu déja supprimer tous ça:

relance Hijackthis et clique sur Do a scan only puis fixe les lignes suivantes:

[b]O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccyaww.dll
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [b1c474d6.exe] C:\WINDOWS\system32\b1c474d6.exe
O4 - HKCU\…\Run: C:\Documents and Settings\Julien\Local Settings\Application Data\b1c474d6.exe
O20 - Winlogon Notify: fccyaww - C:\WINDOWS\SYSTEM32\fccyaww.dll
O20 - Winlogon Notify: wineil32 - wineil32.dll (file missing)

puis supprime les fichiers suivants:

C:\WINDOWS\system32\b1c474d6.exe
C:\Documents and Settings\Julien\Local Settings\Application Data\b1c474d6.exe
C:\WINDOWS\SYSTEM32\fccyaww.dll

puis poste moi de nouveau un rapport + celui de ewido

Bossju · Juin 20, 2006, 5:40

Donc j’ai fait tout cela, seulement je n’ai pas trouver fccyaww.dll

Pour ce qui est du scan de ewido il n’est pas encore fini j’ai 250 go a scané lol :

Voila pour Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 17:37:22, on 20/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Apps\Antivirus McAfee\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Apps\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
D:\Apps\Antivirus McAfee\VsStat.exe
D:\Apps\Antivirus McAfee\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Apps\Antivirus McAfee\Avconsol.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Apps\Power Dvd\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Apps\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Logitech\SetPoint\MediaPlayerMgr.exe
C:\Program Files\Fichiers communs\Network Associates\On Demand Scanner\Scan32\SCAN32.EXE
D:\Apps\Ewido anti-spyware 4.0\guard.exe
D:\Apps\Ewido anti-spyware 4.0\ewido.exe
D:\Software\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Apps\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccyaww.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\Apps\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Apps\FlashGet\fgiebar.dll
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [RemoteControl] “D:\Apps\Power Dvd\PDVDServ.exe”
O4 - HKLM\…\Run: [!ewido] “D:\Apps\Ewido anti-spyware 4.0\ewido.exe” /minimized
O4 - HKCU\…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU\…\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe”
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y’z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = D:\Apps\Adobe Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Apps\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Apps\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Apps\FlashGet\jc_all.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Apps\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Apps\FlashGet\flashget.exe
O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Apps\FlashGet\flashget.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: fccyaww - C:\WINDOWS\SYSTEM32\fccyaww.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - D:\Apps\Antivirus McAfee\Avsynmgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Apps\Ewido anti-spyware 4.0\guard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Apps\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe

Au fait, si je peux savoir, pourquoi tu m’as dit de suprimer les exe ? Programmes malveillants?

Pourquoi fixer les Winlongon Notify ?
Et pourquoi soundman.exe ?

Merci beaucoup de m’aider, et j’aime bien savoir ce que je fais, car j’aime pas etre un boulet sur les forum ^^

lagazelle · Juin 20, 2006, 5:54

on verra après le rapport ewido

tout a fait

Pourquoi fixer les Winlongon Notify ?
malveillant eux aussi (dans ton cas), vérifie par toi meme dans ton rapport il y en a un qui reste et qui correspond au fichier que tu ne trouve pas et que je vais m’éfforcer de supprimer

Bossju · Juin 20, 2006, 6:06

Et voici donc mon raport Ewido :

ewido anti-spyware - Scan Report

Created at: 18:07:20 20/06/2006
Scan result:

C:\Documents and Settings\Julien\Local Settings\Application Data\b1c474d6.exe -> Downloader.Obfuscated.a : Cleaned with backup (quarantined).
:mozilla.124:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.
:mozilla.125:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.
:mozilla.126:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.247realmedia : Cleaned.
:mozilla.158:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.
C:\Documents and Settings\Julien\Cookies\julien@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Cleaned.
:mozilla.144:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.145:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Adtech : Cleaned.
:mozilla.59:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.
:mozilla.60:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.
:mozilla.61:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Advertising : Cleaned.
:mozilla.8:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Atdmt : Cleaned.
C:\Documents and Settings\Julien\Cookies\julien@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned.
:mozilla.51:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Bluestreak : Cleaned.
C:\Documents and Settings\Julien\Cookies\julien@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.
:mozilla.64:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.
:mozilla.65:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.
:mozilla.67:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Comclick : Cleaned.
:mozilla.18:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Doubleclick : Cleaned.
:mozilla.120:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Estat : Cleaned.
:mozilla.52:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Mediaplex : Cleaned.
:mozilla.74:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.
:mozilla.75:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.
:mozilla.76:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.
:mozilla.77:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Serving-sys : Cleaned.
:mozilla.13:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.
:mozilla.14:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.
:mozilla.7:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Smartadserver : Cleaned.
C:\Documents and Settings\Julien\Cookies\julien@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Cleaned.
:mozilla.103:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Statcounter : Cleaned.
:mozilla.113:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.115:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Tradedoubler : Cleaned.
:mozilla.54:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Valueclick : Cleaned.
:mozilla.55:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Valueclick : Cleaned.
:mozilla.20:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.
:mozilla.21:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.
:mozilla.22:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.
:mozilla.23:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Weborama : Cleaned.
C:\Documents and Settings\Julien\Cookies\julien@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.
:mozilla.94:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.95:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.96:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.
:mozilla.170:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
:mozilla.171:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
:mozilla.172:C:\Documents and Settings\Julien\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\cookies.txt -> TrackingCookie.Zedo : Cleaned.
C:\Documents and Settings\Julien\Local Settings\Application Data\Mozilla\Firefox\Profiles\yvc9fd9a.default\Cache\756EC10Ad01 -> Trojan.Agent.vg : Cleaned with backup (quarantined).
C:\RECYCLER\S-1-5-21-1343024091-1708537768-839522115-1003\Dc3.exe -> Trojan.Agent.vg : Cleaned with backup (quarantined).

::Report end

lagazelle · Juin 20, 2006, 6:09

ok bon vide ta corbeille et repost un log hijackthis

Bossju · Juin 20, 2006, 6:32

Logfile of HijackThis v1.99.1
Scan saved at 18:31:56, on 20/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Apps\Antivirus McAfee\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Apps\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
D:\Apps\Antivirus McAfee\VsStat.exe
D:\Apps\Antivirus McAfee\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
D:\Apps\Antivirus McAfee\Avconsol.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Apps\Power Dvd\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Apps\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Logitech\SetPoint\MediaPlayerMgr.exe
D:\Apps\Ewido anti-spyware 4.0\guard.exe
D:\Apps\Ewido anti-spyware 4.0\ewido.exe
D:\Apps\eMule\emule.exe
D:\Software\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Apps\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccyaww.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\Apps\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Apps\FlashGet\fgiebar.dll
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [RemoteControl] “D:\Apps\Power Dvd\PDVDServ.exe”
O4 - HKLM\…\Run: [!ewido] “D:\Apps\Ewido anti-spyware 4.0\ewido.exe” /minimized
O4 - HKCU\…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background
O4 - HKCU\…\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe”
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y’z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = D:\Apps\Adobe Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Apps\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Apps\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Apps\FlashGet\jc_all.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Apps\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Apps\FlashGet\flashget.exe
O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Apps\FlashGet\flashget.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: fccyaww - C:\WINDOWS\SYSTEM32\fccyaww.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - D:\Apps\Antivirus McAfee\Avsynmgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Apps\Ewido anti-spyware 4.0\guard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Apps\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe

voila. Au fait pour Ewido, existe t’il une version gratuite car je ne l’ai que pour 14 jours et je n’ai pas trop envie d’acheter une license?

lagazelle · Juin 20, 2006, 6:45

tu peu garder sans problème ewido la seul chose qui est payante sur le soft est la surveillance en arrière plan c’est pour ca que je t’ai dit lors de l’installation de la décocher.
Sinon maintenant on va s’occuper de ton infection Vundo:

Télécharge VundoFix sur ton Bureau.
www.atribune.org/ccount/click.php?id=4

. Double-clique VundoFix.exe.
. Coche la case "Run VundoFix as a task".
Attends le redemarrage de Vundofix

. Clique sur le bouton Scan for Vundo.
. Puis clique sur le bouton Remove Vundo.
. Ensuite sur yes pour confirmer
. Après avoir cliqué “Yes”, le Bureau disparaîtra un moment lors de la suppression des fichiers.
. Tu verras une invite qui t’annonce que ton PC va s’éteindre (“shutdown”); clique OK
. Démarre ton PC à nouveau.
. Colle le rapport situé dans C:\vundofix.txt ici.

westernunion · Juin 20, 2006, 7:12

:hello: bonsoir et Bossju idem

c’est pour ces 2 entrées que tu dis que c’est Vundo ?
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccyaww.dll
O20 - Winlogon Notify: fccyaww - C:\WINDOWS\SYSTEM32\fccyaww.dll

lagazelle · Juin 20, 2006, 7:15

oui,
pourquoi c’est pas le cas?

westernunion · Juin 20, 2006, 7:29

en principe non, Vundo affecte
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
et
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

sur le log l’entrée
O20 - Winlogon Notify: fccyaww - C:\WINDOWS\SYSTEM32\fccyaww.dll
en général est la trace de CWS et affecte
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs <-- ici

Quand Ewido n’arrive pas à supprimer cette entrée qu’Hijacthis ne corrige plus depuis les dernières versions - Bossju pourrait tenter une suppression manuelle par la base de registre ensuite relancer Hijack et fixer s’il y a lieu

en version light - en affichant les dossiers cachés et en recherchant dans le system32 ce serait plus prudent avant de trifouiller la bdr :oui:

édit :

je mets le binz :whistle:

afficher les dossiers cachés
Démarrer > Panneau de Configuration > Options des Dossiers >onglet Affichage > Dans la liste des “Paramètre avancés” sous la rubrique “Fichiers et dossiers cachés”
*[activer] “Afficher les fichiers et dossiers cachés”
*[désactiver] la case " Masquer les extensions des fichiers dont le type est connu"
*[désactiver] la case “Masquer les fichiers protégés du système d’exploitation”

le mode sans échec et la restau système désactivée serait un plus pour supprimer la dll

lagazelle · Juin 20, 2006, 7:36

excuse moi si je me trompe mais on dit la meme chose car il a bien les chemins que tu indique d’infecté:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccyaww.dll
O20 - Winlogon Notify: fccyaww - C:\WINDOWS\SYSTEM32\fccyaww.dll