Mon ordi est infecté: virus, malware

lagazelle · Septembre 14, 2006, 9:02

lance un scan ewido et poste moi le rapport

je regarderai ça demain.

slarska · Septembre 14, 2006, 11:33

Voici donc le re report d’ Ewido :

ewido anti-spyware - Scan Report

Created at: 23:31:16 14/09/2006
Scan result:

C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt -> TrackingCookie.Bluestreak : Cleaned.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Cleaned.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Cleaned.

::Report end

Merci encore pour ton aide.
@pluche

lagazelle · Septembre 15, 2006, 3:16

Ouvre Hijackthis et clique sur Do a scan only puis coche les lignes suivantes:

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {4AC1C761-D1D3-42E7-8FA0-1FC837EBD411} - C:\WINDOWS\system32\adsnt32.dll (file missing)
O4 - HKLM\…\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\…\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)
O23 - Service: UPnPDevService - Unknown owner - C:\Program Files\Fichiers communs\PnpManager\upnpmngr.exe (file missing)

puis clique sur fix checked.
Normalement ton pc devrait aller mieux,tiens moi au courant.

slarska · Septembre 15, 2006, 4:49

lagazelle:

Ouvre Hijackthis et clique sur Do a scan only puis coche les lignes suivantes:

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {4AC1C761-D1D3-42E7-8FA0-1FC837EBD411} - C:\WINDOWS\system32\adsnt32.dll (file missing)
O4 - HKLM\…\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\…\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\…\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)
O23 - Service: UPnPDevService - Unknown owner - C:\Program Files\Fichiers communs\PnpManager\upnpmngr.exe (file missing)
puis clique sur fix checked.
Normalement ton pc devrait aller mieux,tiens moi au courant.

Hello.
Merci pour ta réponse.

Pour tout dire le protocole que tu avais indiqué à Ninibrice au début de ce sujet a très bien fonctionné.
Je l’ai appliqué à la lettre, et je dois t’avouer qu’après cela mon PC allait bien mieux.
Cela dit j’ai suivi tes recommandations, en refaisant un scan d’HijackThis supprimant ainsi les lignes que tu m’as indiqué et mon PC va toujours aussi bien (un chouilla plus rapide).
J’ai également utilisé CCleaner en complément (pour info).

Je te remercie encore pour le temps que tu m’as consacré. :super:
Je dois te dire Bravo

@très bientôt.
Bonne fin de journée.

++++

ninibrice · Octobre 5, 2006, 5:37

Salut lagazelle,
Au secours c’est ninibrice et c’est reparti:
J’ai des pubs et des sites qui s’affichent :
winfixer, drivecleaner,winantivir, winantisp…

J’ai donc suivi ton protocole: spybot, adaware, ccleaner, ewido et même mon antivirus mais ces derniers ne me trouvent rien de special.
J’ai même fait smitfraud en recherche(1) qui m’a trouvé 2 choses présentes, ce qui m’a amener à les corriger(2) en mode sans echec et re-recherche(1) qui me montre que tout est OK.

Le problème est que rien n’a changé et que les sites s’affichent de manière intempestive et mon ordi rame.

Aurais-tu encore la patience de m’aider s’il te plait.
Merci.

alain77310_1_1 · Octobre 5, 2006, 6:27

le ro minet étant absent pour le moment

je vais essayer car déjas winfixer il est coriace

essais ça pour moi ça a marché

http://www.commentcamarche.net/faq/sujet-2…-2005-win-fixer

http://www.clubic.com/forum/topic-officiel…on-de-votre-pc-
323378.html

et tu recommence la procédure de désinfection

mais mieux tenir que courir une bonne protection c’est mieux que les antibiotiques

post un log on ne sait jamais :oui:

Torque_Roll · Octobre 5, 2006, 7:17

:hello:
Tu as surement un rootkit (virus indetectable par un antivirus)
un sujet similaire a été resolu ici : http://www.clubic.com/forum/probleme-avec-…lu-t384282.html

ninibrice · Octobre 5, 2006, 7:45

Merci pour l’info,
je vais aller voir.
a+

ninibrice · Octobre 6, 2006, 1:04

Salut Torque Roll,

J’ai fait f-secure scan qui m’a supprimé un intrus:
C:/windows/system32/UCQEMCQEMD.EXE

J’ai ensuite fait f-secure la version valable jusqu’au 1er janvier qui me trouve ceci:
10/06/06 12:39:15 [Info]: BlackLight Engine 1.0.47 initialized
10/06/06 12:39:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/06/06 12:39:15 [Note]: 7019 4
10/06/06 12:39:15 [Note]: 7005 0
10/06/06 12:39:22 [Note]: 7006 0
10/06/06 12:39:22 [Note]: 7011 1308
10/06/06 12:39:23 [Note]: 7026 0
10/06/06 12:39:23 [Note]: 7026 0
10/06/06 12:39:23 [Note]: 7024 3
10/06/06 12:39:23 [Info]: Hidden process: C:\windows\system32\ucqemcqemd.exe
10/06/06 12:39:23 [Note]: FSRAW library version 1.7.1020
10/06/06 12:41:41 [Info]: Hidden file: c:\WINDOWS\Prefetch\UCQEMCQEMD.EXE-05AE394F.pf
10/06/06 12:41:41 [Note]: 10002 1
10/06/06 12:42:03 [Info]: Hidden file: c:\WINDOWS\system32\ucqemcqemd_nav.dat
10/06/06 12:42:03 [Note]: 10002 1
10/06/06 12:42:03 [Info]: Hidden file: c:\WINDOWS\system32\ucqemcqemd.dat
10/06/06 12:42:03 [Note]: 10002 1
10/06/06 12:42:03 [Info]: Hidden file: C:\windows\system32\ucqemcqemd.exe
10/06/06 12:42:03 [Note]: 10002 1
10/06/06 12:42:04 [Info]: Hidden file: c:\WINDOWS\system32\ucqemcqemd_navps.dat
10/06/06 12:42:04 [Note]: 10002 1
10/06/06 12:54:46 [Note]: 7007 0

Que dois-je faire?
Comment je fais pour les renommer?
Merci
Ninibrice

Torque_Roll · Octobre 6, 2006, 1:54

Salut,
Impeccable, c’est le virus !
C’est fou le nombre de personne qui ont attrapé ça :pt1cable:
De memoire, lorsque Blacklight a trouvé ces fichiers, apres le scan, tu as une fonction de renommage, clique sur “rename”. Redemarre, recherche les fichiers d’apres le chemin indiqué par Blacklight pour les supprimer manuellement (reellement cette action n’est pas obligatoire,car une fois renommés,ils seront toujours inactifs)

Tu peux refaire ensuite des analyses avec spybot, ad aware voir meme le scan en ligne de f-secure pour avoir l’esprit tranquille (il est possible que des restes de virus soient encore presents,mais inactifs)

ninibrice · Octobre 6, 2006, 4:19

Torque Roll,
J’ai renommé les virus et les ai supprimés ensuite.
Puis j’ai refait un scan f-secure et c’est OK.
Apparemment, les sites en cause ne s’affichent plus donc pour le moment tout va bien.
Comment dois-je faire pour que ces virus ne reviennent plus?
Peuvent-ils venir d’emule? ou d’ailleurs?
Je te remercie vivement pour ton aide.

Torque_Roll · Octobre 6, 2006, 4:42

Je n’ai aucune idée d’ou viens cette infection (que j’ai egalement eu). Je ne me suis jamais servit d’emule ni de P2P.
Personnellement je venais de reinstaller windows depuis 2-3 jours lorsque l’infection est apparue
Je crois me rappeller avoir eu juste avant une serie de plantage lorsque je me servais d’Internet Explorer qui mettait en cause le service Dr Watson de windows.

Depuis, je fais des analyses periodiques avec a-squared Free, ad-aware SE, spybot, quelques analyses en ligne, mais rien n’a été trouvé depuis plus de 2 mois(excepté les ‘risques faibles’ comme les cookies). Et je pense toujours visiter les memes sites qu’avant.
:jap:

ninibrice · Octobre 6, 2006, 6:20

Merci pour tes réponses.
Et encore