Gros problèmes de Virus ou autre Trojan

16 réponses

Sophie

24/06/2006 à 18:36

Bonjour,

J'ai "attrapé" spysheriff... j'ai réussi à l'enlever ainsi qu'un autre
malware dont je ne me souviens plus du nom.
Depuis, ca va -un peu- mieux, mais :
Outlook refuse de se lancer : ca me dit que les ressources systèmes sont
trop faibles...
je ne peux pas réactiver le parefeu de windows XP
j'ai passé l'ensemble des disques à l'antivisrus (Avast) + trend micro en
ligne. des trucs ont été trouvés et effacés, mais ca ne change rien
Avec HighjackThis, je trouve des trucs bizarres comme cela :
O4 - HKLM\..\RunServices: [ÿ_zskhbkuctd[koyv`r]v40inkrwksz_]
c:\windows\system32\_zskwrkni04v]r`vyok[dtcukbh.exe

quelqu'un peut il m'aider !
merci

voila le log HT complet :
Logfile of HijackThis v1.99.1
Scan saved at 17:54:53, on 24/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
h:\Alwil Software\Avast4\aswUpdSv.exe
h:\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
H:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
h:\Alwil Software\Avast4\ashMaiSv.exe
h:\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\rundll32.exe
H:\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
H:\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe
H:\ScanSoft\OmniPagePro14.0\Opware14.exe
H:\ScanSoft\OmniPagePro14.0\OpScheduler.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
H:\CyberLink\PowerDVD\PDVDServ.exe
H:\iTunes\iTunesHelper.exe
H:\Cobian Backup 7\CobBU.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iPod\bin\iPodService.exe
H:\ALWILS~1\Avast4\ashDisp.exe
H:\System Mechanic Professional 6\SMSystemAnalyzer.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Widcomm\Bluetooth Software\BTTray.exe
H:\Cobian Backup 7\cobui.exe
C:\Program Files\Widcomm\Bluetooth Software\BTStackServer.exe
H:\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
h:\Webshots\webshots.scr
C:\Program Files\Mozilla Firefox\firefox.exe
H:\Alcohol Soft\Alcohol 120\Alcohol.exe
H:\BitComet\BitComet.exe
F:\Mes documents\HighjackThis\HijackThis.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMIndexStoreSvr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar1.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program
Files\DAP\DAPIEBar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
H:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "H:\Adobe\Acrobat
7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft
Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [WorkFlowTray]
"H:\ScanSoft\OmniPagePro14.0\WorkFlowTray.exe"
O4 - HKLM\..\Run: [Opware14] "H:\ScanSoft\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler]
"H:\ScanSoft\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program
Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [RemoteControl] h:\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [iTunesHelper] "H:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Cobian Backup 7] "h:\Cobian Backup 7\CobBU.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program
Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers
communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ÿ_zskhbkuctd[koyv`r]v40inkrwksz_]
c:\windows\system32\_zskwrkni04v]r`vyok[dtcukbh.exe
O4 - HKLM\..\Run: [avast!] h:\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [ÿ_zskhbkuctd[koyv`r]v40inkrwksz_]
c:\windows\system32\_zskwrkni04v]r`vyok[dtcukbh.exe
O4 - HKCU\..\Run: [SMSystemAnalyzer] "h:\System Mechanic Professional
6\SMSystemAnalyzer.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ÿ_zskhbkuctd[koyv`r]v40inkrwksz_]
c:\windows\system32\_zskwrkni04v]r`vyok[dtcukbh.exe
O4 - Startup: desktop(2).ini
O4 - Startup: Webshots.lnk = H:\Webshots\Launcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers
communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi
802.11g.lnk = ?
O8 - Extra context menu item: &Download with &DAP -
C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Traduire à partir de l'anglais -
res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Convertir en Adobe PDF -
res://H:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant -
res://H:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF -
res://H:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF
existant - res://H:\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF -
res://H:\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF
existant - res://H:\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier
Adobe PDF - res://H:\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier
PDF existant - res://H:\Adobe\Acrobat
7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Download &all with DAP -
C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word -
res://H:\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300
O8 - Extra context menu item: Pages liées - res://c:\program
files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program
files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program
files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program
Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software
AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145036921114
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software
AutoUpdate Support Package) - http://creative.com/su/ocx/15021/CTPID.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers
communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
h:\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - h:\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - h:\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - h:\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision -
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:\Program Files\Fichiers
communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program
Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f
"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division
Software - H:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

10 réponses

1 2

NyC

24/06/2006 à 20:07

hello Sophie you wrote

Bonjour,

J'ai "attrapé" spysheriff... j'ai réussi à l'enlever ainsi qu'un autre
malware dont je ne me souviens plus du nom.
Depuis, ca va -un peu- mieux, mais :
Outlook refuse de se lancer : ca me dit que les ressources systèmes
sont trop faibles...
je ne peux pas réactiver le parefeu de windows XP
j'ai passé l'ensemble des disques à l'antivisrus (Avast) + trend
micro en ligne. des trucs ont été trouvés et effacés, mais ca ne
change rien Avec HighjackThis, je trouve des trucs bizarres comme cela
:
O4 - HKLM..RunServices: [ÿ_zskhbkuctd[koyv`r]v40inkrwksz_]
c:windowssystem32_zskwrkni04v]r`vyok[dtcukbh.exe

hello So,

Viens donc voir Anna-Lyse de sang qui t'a examinée par robot interposé:

http://www.hijackthis.de/logfiles/9cd31a1a2d9a3b81e5608172b4bf5379.html

Il y bien un peu de monde quand même...

A+ pour réparations, si hesitations faire savoir.

Cdlmt
--
NyC -nocomprendo-

return adress valid thanks to http://www.kasmail.com/

Eric G.

24/06/2006 à 21:14

NyC a émis l'idée suivante :

hello Sophie you wrote

Bonjour,

J'ai "attrapé" spysheriff... j'ai réussi à l'enlever ainsi qu'un autre
malware dont je ne me souviens plus du nom.
Depuis, ca va -un peu- mieux, mais :
Outlook refuse de se lancer : ca me dit que les ressources systèmes
sont trop faibles...
je ne peux pas réactiver le parefeu de windows XP
j'ai passé l'ensemble des disques à l'antivisrus (Avast) + trend
micro en ligne. des trucs ont été trouvés et effacés, mais ca ne
change rien Avec HighjackThis, je trouve des trucs bizarres comme cela :
O4 - HKLM..RunServices: [ÿ_zskhbkuctd[koyv`r]v40inkrwksz_]
c:windowssystem32_zskwrkni04v]r`vyok[dtcukbh.exe

hello So,

Viens donc voir Anna-Lyse de sang qui t'a examinée par robot interposé:

http://www.hijackthis.de/logfiles/9cd31a1a2d9a3b81e5608172b4bf5379.html

Il y bien un peu de monde quand même...

super : le seul indiqué comme "méchant" n'en est pas un...
par contre, tous les "_zskwrkni04v]r`vyok[dtcukbh.exe" sont trés
certainement des vrais méchants... ;-)
...et aprés il y a un paquet de truc dont on peut se passer en tâche de
fond... B-)

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

NyC

24/06/2006 à 21:54

hello Sophie you wrote

Désolé pour le 'So' famillier, ma belle fille s'appelle comme toi et j'ai
pris l'habitude...

mea culpa :-(

cordialement,
--
NyC -nocomprendo-

return adress valid thanks to http://www.kasmail.com/

Sophie

24/06/2006 à 22:18

Pas de problème,
Je vais essayer de nettoyer tout ca...j'ai l'impression que ce n'est pas
gagné !

"NyC" <coldstuff> a écrit dans le message de news:
449d98b8$0$22870$

hello Sophie you wrote

Désolé pour le 'So' famillier, ma belle fille s'appelle comme toi et j'ai
pris l'habitude...

mea culpa :-(

cordialement,
--
NyC -nocomprendo-

return adress valid thanks to http://www.kasmail.com/

Eric G.

25/06/2006 à 00:27

Sophie a présenté l'énoncé suivant :

Pas de problème,
Je vais essayer de nettoyer tout ca...j'ai l'impression que ce n'est pas
gagné !

IMPORTANT : faites cette operation en mode sans echec...

et nettoyer les fichiers temporaires dans
C:Documents and Settingsnom_du_compteLocal SettingsTemporary
Internet Files
et
C:Documents and Settingsnom_du_compteLocal SettingsTemp

...si vous etes sous xp of course...

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

Sophie

25/06/2006 à 00:40

Heu, que dois je faire exactement en mode sans echec ?
un autre symptome que j'ai est que je ne peux plus lancer, ni desinstaller
(pour reinstaller...) : System suite 5, System mechanics...
Bref, je ne peux plus utiliser ce qui pourrait m'aider à nettoyer tout
ca....
je commence à me dire que reformatter l'ensemble et repartir de zéro serait
peut etre la solution...

"Eric G." a écrit dans le
message de news:

Sophie a présenté l'énoncé suivant :
Pas de problème,
Je vais essayer de nettoyer tout ca...j'ai l'impression que ce n'est pas
gagné !

IMPORTANT : faites cette operation en mode sans echec...

et nettoyer les fichiers temporaires dans
C:Documents and Settingsnom_du_compteLocal SettingsTemporary Internet
Files
et
C:Documents and Settingsnom_du_compteLocal SettingsTemp

...si vous etes sous xp of course...

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer : http://cerbermail.com/?tVjLN6N0wM

Eric G.

25/06/2006 à 00:46

Sophie vient de nous annoncer :

Heu, que dois je faire exactement en mode sans echec ?
un autre symptome que j'ai est que je ne peux plus lancer, ni desinstaller
(pour reinstaller...) : System suite 5, System mechanics...
Bref, je ne peux plus utiliser ce qui pourrait m'aider à nettoyer tout ca....
je commence à me dire que reformatter l'ensemble et repartir de zéro serait
peut etre la solution...
utiliser simplement hijackthis, et cochez et supprimez les

"r`vyok[dtcukbh.exe" ou tout ce qui y ressemble
passez ensuite un coup de spybot puisqu'il est installé sur votre pc...
...tout ça en mode sans echec...

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

Sophie

25/06/2006 à 00:52

Ok, je vais essayer cela..
merci, je vous tiens informé de le suite des évènements !

"Eric G." a écrit dans le
message de news:

Sophie vient de nous annoncer :
Heu, que dois je faire exactement en mode sans echec ?
un autre symptome que j'ai est que je ne peux plus lancer, ni
desinstaller (pour reinstaller...) : System suite 5, System mechanics...
Bref, je ne peux plus utiliser ce qui pourrait m'aider à nettoyer tout
ca....
je commence à me dire que reformatter l'ensemble et repartir de zéro
serait peut etre la solution...
utiliser simplement hijackthis, et cochez et supprimez les

"r`vyok[dtcukbh.exe" ou tout ce qui y ressemble
passez ensuite un coup de spybot puisqu'il est installé sur votre pc...
...tout ça en mode sans echec...

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer : http://cerbermail.com/?tVjLN6N0wM

Sucker

25/06/2006 à 10:25

passez ensuite un coup de spybot puisqu'il est installé sur votre pc...
...tout ça en mode sans echec...

Bonjour,

Puisque Spybot est installé, passez en mode "expert", puis outils ->
démarrage système. La fenêtre de droite affiche les caractéristiques et
la fonction de chaque clé. On y voit aussi des commentaires tels que
"totalement inutile" qui permettent l'alléger considérablement de
démarrage en désactivant la clé.

Cordialement,

Sophie

25/06/2006 à 21:50

Bon, j'ai essayé tout cela...pas de progres...
Outlook refuse toujours de se lancer, Spybot rt system Mechanicks me font
des ecrans ou les cases à cliquer sont invisibles....
je desespère un peu.....
je pense que je vais finir par faire "format c:" ... mais...bon, pénible de
tout perdre !

"Sucker" a écrit dans le message de
news: 449e488a$0$9590$

passez ensuite un coup de spybot puisqu'il est installé sur votre pc...
...tout ça en mode sans echec...

Bonjour,

Puisque Spybot est installé, passez en mode "expert", puis outils ->
démarrage système. La fenêtre de droite affiche les caractéristiques et la
fonction de chaque clé. On y voit aussi des commentaires tels que
"totalement inutile" qui permettent l'alléger considérablement de
démarrage en désactivant la clé.

Cordialement,

1 2

Gros problèmes de Virus ou autre Trojan

10 réponses

Veuillez sélectionner un problème