Winfixer ne me lâche pas... - Forum Internet - Réseau

Limona · 14/12/2005, 00h48

Bonjour à tous,

Je suis polluée par Winfixer depuis plusieurs jours et j'ai tenté en vain de m'en débarrasser.
Il se manifeste par l'apparition d'un message d'avertissement disant que je-ne-sais-quoi fonctionne mal sur mon PC et pourrait endommager mon disque dur, et me propose un scan. J'ai beau fermer la fenêtre, la page de téléchargement de Winfixer s'ouvre qud même. J'ai aussi qq pubs qui s'ouvrent de tps en tps. Un autre phénomène est une fenêtre imitant celle du centre de sécurité me disant que je suis infectée par un spyware, et qu'il faut que je télécharge Winantispyware 2005 ou un truc comme ça, et en cherchant ce nom sur internet, j'ai pu voir que c'était un faux antivirus.

Je ne m'y connais pas, mais j'ai consulté des forums qui en parlent.

Résultat: J'ai téléchargé Spybot, A², Ad-aware, Microsoft antispyware, et CCleaner, aucun n'a pu me le trouver ni me l'enlever.

J'ai fait un scan avec HijackThis, mais je suis incapable d'interpreter le log. Si quelqu'un d'entre vous pouvait m'aider, je serais infiniment reconnaissante...

Merci d'avance

**JPL** · 14/12/2005, 01h01

Fais une recherche dans le forum avec Winfixer. Si ce qui est dit ne suffit pas pour t'en débarasser, poste le log et espérons que Cyrrus passera par là bientôt.

**Cyrrus** · 14/12/2005, 18h39

Bonsoir à tous/toutes,

Effectue un scan Ewido je te prie :
http://download.ewido.net/ewido-setup.exe
Installe le, mets le à jour et effectue un scan en mode complet. Sauve le rapport à la fin du scan et poste le ainsi qu'un nouveau log hijackthis.

Bonne soirée
Cyrrus

pirana64 · 14/12/2005, 19h31

a je vois que je ne suis pas seul a avoir ce probleme lol sauf que ma soeur a ... accepter snif

et puis la gros bug et j'ais l'ordi qui marche tro mal depuis car j'ai attraper un cheval de troie

**Cyrrus** · 14/12/2005, 19h34

Bonsoir,

Poste ton propre sujet, même s'il s'agit de la même bestiole.
Bonne soirée
Cyrrus

Limona · 15/12/2005, 02h31

Eh Eh

en fait merci de votre aide, je crois avoir réussi à m'en débarrasser.
J'ai téléchargé ewido comme conseillé, et il a trouvé des trucs, mais winfixer est revenu après. Ensuite j'ai re-téléchargé spybot, qui l'a finalement débusqué, et je l'ai viré.

C'est bizarre parce que la première fois que j'ai téléchargé spybot, il ne parvenait pas à ce mettre à jour, et à cause de ça refusait de me scanner. Cette fois ci aucun problème, et il m'a trouvé la saloperie, que j'ai viré. En revanche, je ne sais pas s'il et définitivement éradiqué, vu qu'il n'y avait aucun signe visible de sa présence, à par les pop-up. Je n'en ai plus depuis un moment, mais je vais attendre un peu avant de me crier victoire pour de bon.

Merci à tous ceux qui ont lu mon post et qui m'ont répondu.

**Cyrrus** · 15/12/2005, 08h59

Peux tu quand même poster un rapport hijackthis, à titre de verification.
Cyrrus

Limona · 15/12/2005, 16h39

Voici mon log, Cyrrus, comme demandé

Logfile of HijackThis v1.99.1
Scan saved at 16:39:03, on 15/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.ex e
C:\Acer\eManager\anbmServ.exe
C:\Documents and Settings\Nickie\Mes documents\Ewido\security suite\ewidoctrl.exe
C:\Documents and Settings\Nickie\Mes documents\Ewido\security suite\ewidoguard.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.ex e
C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.e xe
C:\WINDOWS\system32\keyhook.ex e
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\E_FATI9BE.EXE
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\acer\eRecovery\Monitor.e xe
C:\WINDOWS\system32\sistray.ex e
C:\Program Files\Wireless\Client Manager\CMAGS.EXE
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.E XE
C:\Documents and Settings\Nickie\Mes documents\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Window s\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelpe r.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper. dll
O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\system32\geedb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dl l
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dl l
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.ex e
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMI G.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLG NT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLG NT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLG NT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [RecoverFromReboot] C:\WINDOWS\Temp\RecoverFromReb oot.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [MPSWiFiManager] C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.ex e /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe" -osboot
O4 - HKLM\..\Run: [PicasaNet] "C:\Program Files\Hello\Hello.exe" -b
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.ex e
O4 - Global Startup: Wireless Client Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/inst...l/pinstall.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadMa...od/DownMan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
O20 - Winlogon Notify: geedb - C:\WINDOWS\system32\geedb.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\Nickie\Mes documents\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\Nickie\Mes documents\Ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1 1\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\ SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

J'espère que tout ira bien...

christian · 15/12/2005, 17h53

Bonjour à toutes les victimes,
j'ai pu virer winfixer avec ad-Aware mais à chaque connexion sur le net, il tente de revenir et je refuse en cliquant sur la petite croix de la fenêtre.
D'où vient ce malware ???
Pourquoi Windows ne réagit-il pas ???

**Cyrrus** · 15/12/2005, 18h28

Bonjour christian, Limona,

@ Limona :
Ton rapport montre des signes d'infection. Jem'e, occuperai vendredi.

@ christian :

Citation:

D'où vient ce malware ???

Visite d'un site infectieux, ou plus generalement utilisation d'IE, ce qui favorise...

Citation:

Pourquoi Windows ne réagit-il pas ???

Windows ? Réagir ?? Wahahaha, elle est bien bonne celle là

. Sans faire de l'anti ms, qui est mon systeme d'exploitation, Windows est plus un facteur de developpement qu'un milieu sécurisant. Enfin bref, ne t'attends pas à des reactions de Windows.

Crée ta discussion en y expliquant ton problème et en y postant un rapport hijackthis fait en mode sans echec :
Telecharge Hijackthis : http://www.merijn.org/files/hijackthis.zip
Installe le dans un dossier bien à lui
Lance le et clique sur Do a system scan and save a log files. Effectue ceci en mode sans echec.

Bonne soirée
Cyrrus

**Cyrrus** · 16/12/2005, 17h19

Bonsoir Limona,

Belle infection par Vundo. On va d'abord s'occuper de Vundo, puis le reste ensuite. Le protocole est à suivre à la lettre :

Telecharge s'il te plait VundoFix.exe

Double clique sur VundoFix.exe pour extraire les fichiers.
Cela créera un dossier Vundofix sur ton bureau
Une fois les fichiers extraits, redemarre ton ordinateur en mode sans echec (tapoté F8 au demarrage).
Une fois en mode sans echec, ouvre le dossier VundoFix et double clique sur KillVundo.bat
Tu auras alors un avertissement, qui ressemblera à cela :

Citation:

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....
A ce moment là, appuie sur Entrée pour validé
Ensuite, tu verras ceci :

Citation:

Please Type in the filepath as instructed by the forum staff
and then press enter:
A ce moment là, entre le chemin suivant :
C:\WINDOWS\system32\geedb.dll
Presse Entrée pour continuer le fix.
Ensuite, tu verras ceci :

Citation:

Please type in the second filepath as instructed by the forum
staff then press enter:
A ce moment, tape le second chemin suivant :
C:\WINDOWS\system32\bdeeg.* (tape exactement ceci !)
Press Entrée pour continuer le fix
Le fix va se lancer et lancera ensuite Hijackthis, s'il ne le fait pas, fais le manuellement (double clique sur Hijackthis.exe)
Dans Hijackthis, coche les entrées suivantes et clique ensuite sur Fix Checked :

Citation:

O2 - BHO: ATLDistrib Object - {7A1A109F-58B3-414B-9829-5F4D9BE5FEDE} - C:\WINDOWS\system32\geedb.dll
O20 - Winlogon Notify: geedb - C:\WINDOWS\system32\geedb.dll
Apres avoir fixé ces lignes, ferme Hijackthis
Presse Entrée pour sortir du programme. Redemarre ton pc manuellement (Demarrer>Arreter>Redemarrer)
Une fois ta machine redemarrer, suit les instructions suivantes :
Lance CCleaner :
- Va dans Options>Avancé et decoche "Ne supprimer que les fichiers plus vieux que 48h"
- Reviens dans Nettoyeur et clique sur Analyse, puis sur Nettoyer les fichiers.

Effectue s'il te plait ce scan antivirus en ligne : Activescan
Copie le résultat d'Active scan et colle le dans ton message, avec un nouveau log Hijackthis ainsi que le contenu du fichier vundofix.txt, présent dans le dossier Vundofix.

Bonne soirée
Cyrrus

Limona · 19/12/2005, 15h52

Désolée Cyrrus d'avoir été si longue, mais j'ai fait plusieurs fois les manips que tu m'a demandé, et il semble que les virus résistent.

A chaque fois que je me mets en mode sans échec, la barre avec le menu "demarrer" disparait, ce qui fait que, une fois les manips finies, pour quitter je suis obligée d'attendre que la batterie se décharche et que le PC s'éteigne de lui-même. Je me suis demandée si ce n'était pas la cause de l'inefficacité des actions. Les lignes que tu me demandes de cocher dans le log HijackThis réapparaissent après, je ne sais pas pourquoi.

Mais enfin, voici les logs que tu voulais, peut être y verras tu quelque chose.

Rapport activescan

Incident Status Location

Adware:Adware/Look2Me Not desinfected C:\WINDOWS\Downloaded Program Files\pinstall.dll

Log HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 15:50:27, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.ex e
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Nickie\Mes documents\Ewido\security suite\ewidoctrl.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.ex e
C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.e xe
C:\WINDOWS\system32\keyhook.ex e
C:\Program Files\Arcade\PCMService.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\E_FATI9BE.EXE
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\acer\eRecovery\Monitor.e xe
C:\WINDOWS\system32\sistray.ex e
C:\Program Files\Wireless\Client Manager\CMAGS.EXE
C:\Program Files\Club-Internet\Dr Club Internet\bin\mpbtn.exe
C:\Documents and Settings\Nickie\Mes documents\Ewido\security suite\ewidoguard.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EX E
C:\Documents and Settings\Nickie\Mes documents\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Intern et Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Window s\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper. dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dl l
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dl l
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.ex e
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMI G.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLG NT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLG NT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLG NT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIV ERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [RecoverFromReboot] C:\WINDOWS\Temp\RecoverFromReb oot.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [MPSWiFiManager] C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.ex e /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe" -osboot
O4 - HKLM\..\Run: [PicasaNet] "C:\Program Files\Hello\Hello.exe" -b
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.ex e
O4 - Global Startup: Wireless Client Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Docteur Club Internet.lnk = C:\Program Files\Club-Internet\Dr Club Internet\bin\matcli.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dl l/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/inst...l/pinstall.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadMa...od/DownMan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp. dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\Nickie\Mes documents\Ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Documents and Settings\Nickie\Mes documents\Ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1 1\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\ SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

Contenu du dossier Vundofix

VundoFix V2.15 by Atri
--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.
--------------------------------------------------------------------------------------

ReadMe.txt
killvundo.bat
process.exe
vundo.reg
vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered
--------------------------------------------------------------------------------------

The filepath entered was C:\WINDOWS\system32\geedb.dll

The second filepath entered was C:\WINDOWS\system32\bdeeg.

--------------------------------------------------------------------------------------

Log from Process
--------------------------------------------------------------------------------------

Killing PID 124 'smss.exe'

Killing PID 740 'explorer.exe'

Killing PID 200 'winlogon.exe'
--------------------------------------------------------------------------------------

C:\WINDOWS\system32\geedb.dll Deleted sucessfully.
C:\WINDOWS\system32\bdeeg. Deleted sucessfully.

Fixing Registry
--------------------------------------------------------------------------------------

**Cyrrus** · 19/12/2005, 16h28

Bonjour Limona,

Grrr je m'en doutais d'un truc pareil : Look2me par dessus Vundo, deux horreurs ensemble...on se croirait dans un parc d'attraction...^^
En thèorie L2M fait planter Vundofix...

Neanmoins :
1) Ton log est propre, et les deux lignes que je t'ai fait fixé n'apparaissent plus !
2) Le rapport de Vundofix confirme le succes de la suppression :

Citation:

C:\WINDOWS\system32\geedb.dll Deleted sucessfully.
C:\WINDOWS\system32\bdeeg. Deleted sucessfully.

3) Le scan d' Active scan ne montre rien de Vundo !
Par conséquent, je suis tenté de dire que Vundo est eradiquer. Il reste neanmoins L2M qui est une sacré cochonnerie lui aussi !

Je te prépare la manip, je reviens...
Cyrrus

**Cyrrus** · 19/12/2005, 16h42

Re,

Télécharge L2MRemover.zip
Dézippe le (voici un décompresseur gratuit si tu n'en as pas QuickZip)
Installe l'exécutable dans C:\Program Files\Look2meRemover\

Supprime le Système de restauration

1. Clique sur L2MRemover.exe pour lancer le programme.
2. Clique sur "About" > "Check for updates..." dans le menu du programme pour le mettre à jour.
3. Clique sur "Scan" et attendre que le scan complet soit fait.

4. Clique sur le bouton "Delete Keys" pour nettoyer la base de registre.

(Si tu n'es pas sûr, tu peux cocher "Save before delete"
pour avoir une sauvegarde des clés supprimées; ceci créera un fichier reg)

Citation:

Note :
Si tu as un message d'erreur qui dit qu'il te faut le fichier Msinet.ocx ou Comctl32.ocx :

Télécharge DLLs.zip et extrais les (en suivant les instructions du fichier ReadMe.txt) ou tu peux simplement télécharger Look2Me Remover Setup Kit
Plus d'information sur Look2Me Remover V.1.0.0

Remettre le Système de restauration

Je rajoute :

Dans Hijackthis, coche cette ligne et fix là :

Citation:

O4 - HKLM\..\Run: [RecoverFromReboot] C:\WINDOWS\Temp\RecoverFromReb oot.exe
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/inst...l/pinstall.cab

Refais un scan Active scan et sauvegarde le rapport

Vérifie que les fichiers suivant n'existent plus, si tu les trouves supprime les :

C:\WINDOWS\Downloaded Program Files\pinstall.dll
C:\WINDOWS\Temp\RecoverFromReboot.exe

Poste moi le rapport d'Active scan, un nouveau d'Hijackthis, et...celui de L2Mremover s'il en crée un (trou de mémoire..)
Bonne journée
Cyrrus