Virus avec plein de fenêtre+message browing enhancer • page 6

[eve31]

A l'attentionj de H3 bus : Tu m'as dit avoir fais une analyse via TrendMicro aussi mais tu n'insiste pas ! Pourquoi???? toi ça a marcher ????

[r@in | b0w]

Re.

Je t'ai répondu juste avant, regardes mon message et j'attends tes réponses

Pour le scan, comme dit dans mon précédent message, on verra après mais tu y auras droit, ne t'inquiètes pas

[eve31]

MERCI BEAUCOUP A TOI r@in/b0w tu es mon SAUVEUR.....

Je suis ravie que tu sois de retour......les autres m'ont aider mais c'est vrai que j'ai beaucoup ramée !!!!!! Et depuis hier je suis scotché devant l'ordi je n'en peux plus il me tarde de tout résoudre.....

Merci encore 100000 fois

Donc voilà....

StartupList report, 10/06/2008, 20:47:01
StartupList version: 1.52.2
Started from : C:Program FilesHiJack ThisHiJackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v7.00 (7.00.6000.16640)
* Using default options
==================================================

Running processes:

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32LEXPPS.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAntiVir PersonalEdition Classicavguard.exe
C:WINDOWSExplorer.EXE
C:Program FilesAntiVir PersonalEdition Classicsched.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesBonjourmDNSResponder.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSOUNDMAN.EXE
C:Program FilesAntiVir PersonalEdition Classicavgnt.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesacereRecoveryMonitor.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesHiJack ThisHiJackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
UserInit = C:WINDOWSsystem32userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun

LaunchApp = Alaunch
SiSUSBRG = C:WINDOWSSiSUSBrg.exe
SoundMan = SOUNDMAN.EXE
MSPY2002 = C:WINDOWSsystem32IMEPINTLGNTImScInst.exe /SYNC
PHIME2002ASync = C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
PHIME2002A = C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
eRecoveryService = C:WindowsSystem32Check.exe
avgnt = "C:Program FilesAntiVir PersonalEdition Classicavgnt.exe" /min
MSConfig = C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
SpybotSnD = "C:Program FilesSpybot - Search & DestroySpybotSD.exe"

--------------------------------------------------

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

CTFMON.EXE = C:WINDOWSsystem32ctfmon.exe
swg = C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe

--------------------------------------------------

Shell & screensaver key from C:WINDOWSSYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:WINDOWSsystem32ssmarque.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU..Policies: Shell=*Registry key not found*
HKLM..Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:Program FilesYahoo!CompanionInstallscpnyt.dll - {02478D38-C3F9-4EFB-9B51-7695ECA05670}
(no name) - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:PROGRA~1SPYBOT~1SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - C:Program FilesJavajre1.6.0_05inssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}
(no name) - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}
(no name) - c:program filesgooglegoogletoolbar4.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - C:Program FilesGoogleGoogleToolbarNotifier2.0.301.7164swg.dll - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
(no name) - C:Program FilesWindows Live Toolbarmsntb.dll - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}

--------------------------------------------------

Enumerating Task Scheduler jobs:

AppleSoftwareUpdate.job

--------------------------------------------------

Enumerating Download Program Files:

[Windows Genuine Advantage Validation Tool]
InProcServer32 = C:WINDOWSsystem32LegitCheckControl.DLL
CODEBASE = http://download.microsoft.com/download/ ... ontrol.cab

[Checkers Class]
InProcServer32 = C:WINDOWSDownloaded Program Filesmsgrchkr.dll
CODEBASE = http://messenger.zone.msn.com/binary/ms ... b56986.cab

[YInstStarter Class]
InProcServer32 = C:PROGRA~1YAHOO!COMMONyinsthelper.dll
CODEBASE = C:Program FilesYahoo!Commonyinsthelper.dll

[MSN Photo Upload Tool]
InProcServer32 = C:WINDOWSDownloaded Program FilesMsnPUpld.dll
CODEBASE = http://by104w.bay104.mail.live.com/mail ... nPUpld.cab

[AdVerifierADPCtrl Class]
InProcServer32 = C:WINDOWSDOWNLO~1ADVERI~1.DLL
CODEBASE = https://static.impots.gouv.fr/tdir/stat ... DP-1.0.cab

[AdSignerLCContrl Class]
InProcServer32 = C:WINDOWSDOWNLO~1ADSIGN~1.DLL
CODEBASE = https://static.impots.gouv.fr/tdir/stat ... DP-1.1.cab

[MessengerStatsClient Class]
InProcServer32 = C:WINDOWSDownloaded Program FilesMessengerStatsPAClient.dll
CODEBASE = http://messenger.zone.msn.com/binary/Me ... b56907.cab

[Shockwave Flash Object]
InProcServer32 = C:WINDOWSsystem32MacromedFlashFlash9f.ocx
CODEBASE = http://fpdownload2.macromedia.com/get/s ... wflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #4: C:Program FilesBonjourmdnsNSP.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:DOCUME~1EVEETA~1LOCALS~1TEMPOR~1Content.IE5index.dat||C:DOCUME~1EVEETA~1Cookiesindex.dat


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:WINDOWSsystem32SHELL32.dll
CDBurn: C:WINDOWSsystem32SHELL32.dll
WebCheck: C:WINDOWSsystem32webcheck.dll
SysTray: C:WINDOWSsystem32stobject.dll
WPDShServiceObj: C:WINDOWSsystem32WPDShServiceObj.dll

--------------------------------------------------
End of report, 7 267 bytes
Report generated in 0,766 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

[H3bus]

MERCI BEAUCOUP A TOI r@in/b0w tu es mon SAUVEUR.....

Et moi je sens l'ail?

[eve31]

MERCI A VOUS TOUS QUI M'AVAIT AIDER.....

et personne ne sens l'ail

J'admire votre patience et votre savoir faire.

[eve31]

Re.
Pour le scan, comme dit dans mon précédent message, on verra après mais tu y auras droit, ne t'inquiètes pas

ok ok ....

j'attend que ça car qui dit scan dit "the end"!!!!!

[r@in | b0w]

Ok.

J'ai fini d'éplucher ton log, deux choses à faire:

1_ Tu vas aller sur http://www.virustotal.com/fr/

Tu cliques sur Parcourir puis tu sélectionnes C:WINDOWSsystem32webcheck.dll.

Tu cliques sur Ouvrir puis Envoyer le fichier.

Tu fais un screenshot du résultat (maintenant que tu gères les impressions écran) s'il y a au moins une menace de détectée, sinon tu laisses tomber.

2_ Tu sais que tu as plusieurs barre d'outils installées?

Une Google, une Yahoo et une Windows Live.

Mon conseil: désinstaller les deux dernières

Quand tu as fini tout cela (cad vérification du webcheck.dll & désinstallation ou pas des deux toolbars), tu reviens nous donner le résultat et on attaquera l'analyse en ligne, dernière chose avec "the End"

[eve31]

Voilà pour l'analyse de virus total :

Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier webcheck.dll reçu le 2008.06.10 21:31:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.11.0 2008.06.10 -
AntiVir 7.8.0.55 2008.06.10 -
Authentium 5.1.0.4 2008.06.10 -
Avast 4.8.1195.0 2008.06.10 -
AVG 7.5.0.516 2008.06.10 -
BitDefender 7.2 2008.06.10 -
CAT-QuickHeal 9.50 2008.06.10 -
ClamAV 0.92.1 2008.06.10 -
DrWeb 4.44.0.09170 2008.06.10 -
eSafe 7.0.15.0 2008.06.10 -
eTrust-Vet 31.6.5862 2008.06.10 -
Ewido 4.0 2008.06.10 -
F-Prot 4.4.4.56 2008.06.10 -
F-Secure 6.70.13260.0 2008.06.10 -
Fortinet 3.14.0.0 2008.06.10 -
GData 2.0.7306.1023 2008.06.10 -
Ikarus T3.1.1.26.0 2008.06.10 -
Kaspersky 7.0.0.125 2008.06.10 -
McAfee 5314 2008.06.10 -
Microsoft 1.3604 2008.06.10 -
NOD32v2 3174 2008.06.10 -
Norman 5.80.02 2008.06.10 -
Panda 9.0.0.4 2008.06.10 -
Prevx1 V2 2008.06.10 -
Rising 20.48.12.00 2008.06.10 -
Sophos 4.30.0 2008.06.10 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.10 -
TheHacker 6.2.92.341 2008.06.10 -
VBA32 3.12.6.7 2008.06.10 -
VirusBuster 4.3.26:9 2008.06.10 -
Webwasher-Gateway 6.6.2 2008.06.10 -
Information additionnelle
File size: 233472 bytes
MD5...: 55756ce2a631108a832eec89cdcfdced
SHA1..: a65b4bbe8a61cb7fb0188cc3a606b3ad9e36d5f3
SHA256: 6776454b4cf984c1cbef70bc54a7f05e4be793f887e48995251c01bfbe34166a
SHA512: ec7e3cf30826e749663e27242edcef41ed77f96b88f4bcf8909db2d5ef63c7eb
267fe083a5822fb6aa9d1eddc8c3efe7497009b36c35998b6fb3bb5f88a3729b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x442b1855
timedatestamp.....: 0x47c952e2 (Sat Mar 01 12:58:10 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x28919 0x28a00 6.47 66cc28a7698293d482e51e67b4305f69
.data 0x2a000 0xa2c 0x800 2.50 961aa209dcea53cd4b57318be23f41ea
.rsrc 0x2b000 0xd610 0xd800 4.96 1967ccba13cab29440b151df20e8e0cd
.reloc 0x39000 0x2034 0x2200 6.54 735f9c79c5e32bbdee488b4b2d9ca44c

( 9 imports )
> msvcrt.dll: wcschr, memcpy, _vsnwprintf, _vsnprintf, bsearch, _wcsnicmp, _wcsicmp, wcsncmp, __dllonexit, _unlock, _adjust_fdiv, _amsg_exit, _initterm, free, malloc, _XcptFilter, _onexit, _lock, memset
> ntdll.dll: RtlUnwind
> IEFRAME.dll: -, -
> GDI32.dll: GetDeviceCaps
> KERNEL32.dll: UnmapViewOfFile, GetSystemDefaultUILanguage, GetUserDefaultUILanguage, FindResourceW, SearchPathW, CreateFileMappingW, GetModuleHandleW, CreateActCtxW, MapViewOfFile, FindResourceExW, LoadLibraryExW, LoadResource, SystemTimeToFileTime, GetSystemTime, lstrlenW, MultiByteToWideChar, FormatMessageW, LocalFree, LocalAlloc, lstrlenA, InterlockedIncrement, InterlockedDecrement, GetLocalTime, GetProcAddress, LoadLibraryW, FreeLibrary, LocalReAlloc, GetUserDefaultLCID, CopyFileW, GlobalUnlock, GlobalLock, FileTimeToSystemTime, GetLocaleInfoW, GetTickCount, FormatMessageA, GetACP, LocalFileTimeToFileTime, CompareStringA, SetLastError, GetLastError, CloseHandle, CreateFileW, lstrcmpiA, HeapAlloc, GetProcessHeap, HeapFree, WideCharToMultiByte, GetSystemTimeAsFileTime, LoadLibraryA, GetTimeFormatW, GetDateFormatW, GetWindowsDirectoryW, GetModuleFileNameW, GetVersionExW, DisableThreadLibraryCalls, lstrcmpA, InitializeCriticalSectionAndSpinCount, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, ReadFile, InterlockedExchange, Sleep, InterlockedCompareExchange, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, ReleaseActCtx, ActivateActCtx, DeactivateActCtx, RaiseException
> USER32.dll: DialogBoxParamW, GetWindowRect, GetDC, LoadStringW, LoadStringA, SendMessageW, PostMessageW, FindWindowW, DestroyWindow, RegisterWindowMessageW, SetTimer, KillTimer, IsDlgButtonChecked, GetWindowLongW, IsWindow, GetWindowTextW, MessageBoxW, MessageBoxIndirectW, EnableWindow, GetDlgItem, SetWindowPos, ReleaseDC, GetClientRect, GetSysColor, GetMenuItemCount, GetMenuItemInfoW, CreatePopupMenu, GetSubMenu, RemoveMenu, PeekMessageW, DispatchMessageW, GetPropW, SetPropW, RemovePropW, GetForegroundWindow, CheckDlgButton, GetParent, CheckRadioButton, EnableMenuItem, SetMenuDefaultItem, LoadIconW, GetDlgItemTextW, GetDlgItemInt, SendDlgItemMessageW, SetDlgItemInt, GetSystemMetrics, DestroyIcon, LoadImageW, LoadCursorW, SetCursor, LoadMenuW, DestroyMenu, SetMenuItemInfoW, RegisterClipboardFormatW, RegisterClassW, DefWindowProcW, EndDialog, SetWindowLongW, SetDlgItemTextW, ShowWindow, MessageBeep, GetDesktopWindow, CreateWindowExW, SetDlgItemTextA
> ADVAPI32.dll: RegEnumValueW, RegEnumKeyW, RegQueryInfoKeyW, RegDeleteValueW, RegQueryValueW, RegQueryValueExW, RegSetValueExW, RegEnumKeyExW, RegCreateKeyExW, RegOpenKeyExW, RegCloseKey
> SHLWAPI.dll: -, StrSpnA, StrCSpnA, UrlCombineW, -, -, PathStripPathW, PathAppendW, -, SHEnumValueW, -, UrlCompareW, StrTrimW, SHGetValueW, StrChrW, SHRegGetValueW, SHDeleteKeyW, StrCmpIW, PathRemoveBlanksW, StrCmpW, StrDupW, StrRChrW, -, PathFindFileNameW, PathCombineW, PathIsDirectoryW, -, StrCmpNIW, PathFindExtensionW, PathIsURLW, -, -, -, -, SHStrDupW, StrFormatByteSizeW
> iertutil.dll: -, -, -, -, -

( 2 exports )
DllCanUnloadNow, DllGetClassObject



ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com

[eve31]

[quote="r@in | b0w"]Ok.
2_ Tu sais que tu as plusieurs barre d'outils installées?
Une Google, une Yahoo et une Windows Live.
Mon conseil: désinstaller les deux dernières

Je ne savais pas que j'avais tout ça..... mais une fois de plus désolée mais je ne sais pas comment on fait pour désinstaller les 2 autres !!!!

[r@in | b0w]

Re.

1_ Résultat: 0/32 (0%):

La dll est saine, pas de soucis.

2_ Désinstallation:

Tu vas sur Démarrer (la touche Windows), Panneau de configuration.

Tu cliques sur Ajout/Suppression de programmes puis, après le chargement, tu sélectionnes Yahoo toolbar et tu cliques sur Désinstaller ou Supprimer, je ne sais plus.

Tu fais de même pour Windows Live Toolbar et l'affaire est dans le sac.

[eve31]

ok, c'est bon... il y a juste windows live tobar que je ne peux pas supprimer mais c'est pas grave....

J'attend le bouquet final !!!

[DouDou9455]

Redémarre en mode sans échec et refait la même manipe et normalement elle devrait se supprimer

[eve31]

Comment on fait pour redémarrer en mode sans echec ????

Je le ferai à la fin quand j'aurai tout fini, et que r@in | b0w
m'aura indiqué "le bouquet final"!!!! (si ca ne géne pas pour la suite, bien sur)

MERCI

[DouDou9455]

Quand tu allume ton PC t'appuie sur F8 et la ta une sélection sur le démarrage et tu sélectionne "Mode Sans Echec"

[r@in | b0w]

Non, avant le final, il va falloir supprimer cette cochonnerie de Yahoo toolbar!

Donc, pour le Mode sans échec, tu vas redémarrer.

Dès que ton écran s'allume, tu martyrises la touche [F8].

Tu arriveras sur un écran noir à choix multiples, tu sélectionnes avec les flèches directionnelles la ligne Démarrer en mode sans échec puis tu cliques sur [Entrée].

Tu confirmes le message Windows t'informant que tu démarres en Mode sans échec.

Tu te logges sur ta session et tu supprimes cette toolbar de mùm$p¨!

Tu redémarres ensuite et tu reviens nous voir

Ps: les autres forumeurs en savent autant que moi, tu vas finir par les vexer