Virus ANTIVIRUS XP 2008

[JeanMi66]

Bonjour,

je viens de choper cette saleté sur un ancien ordi que j'ai rebranché il y a une semaine. Du coup, je lui ai installé BIT DEFENDER INTERNET SECURITY 2008 qui l'a trouvé et supprimé (j'avais AVAST, il a rien vu passer, ni détecté en scan, avec une liste pourtant à jour).

Mais bon, l'important, c'est que je ne l'ai plus (j'ai demandé sa suppression, carrément, pas sa mise en quarantaine). Néanmoins, j'ai des fenêtres intempestives qui s'ouvrent continuellement et qui ne le fesait pas avant. J'ai internet explorer 7. La plupart de ses fenêtres sont pour des jeux en lignes.

J'ai bien activé le bloqueur anti-fenêtres mais ça marche pas. Vous pensez-pas que c'est un résidu du virus ou un truc qu'il a foutu en l'air avant d'être supprimé ?

Merci

PS: je suis sous XP

[eZula]

Salut,

tu fais voir un rapport HijackThis ?

[JeanMi66]

Je viens de passer MalwareBytes n mode sans échec: c'est un échec, je suis revenu en config normale et voici le rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:11, on 02/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\FTRTSVC.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Apps\Powercinema\PCMService.exe
C:\WINDOWS\vsnpstd2.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\BitDefender 2008\bdagent.exe
C:\Program Files\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Labtec\MagicKey.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Labtec\MulMouse.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\Watch.exe
D:\Documents and Settings\DOMINGUEZ\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Labtec\MagicKey.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCX...lientNoMFC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B36D2F92-9803-4E9E-B09C-5B7F02804A9A}: NameServer = 80.10.246.2,80.10.246.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: lcnski.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 9057 bytes


Que faire, tjs ces fenêtres...

Merci

[eZula]

alors si tu as le rapport malwarebyte, ça pourrait nous éclairer davantage

En revanche un truc qui interpelle c'est ce fichier lcnski.dll, pourrais-tu le faire scanner sur ce site http://www.virustotal.com/fr/ (il se situe probablement dans ton répertoire C:\WINDOWS\system32) et nous dire ce qu'il en est ?

[JeanMi66]

Voici le résultat du fichier sur virus total (2 copies d'écran).

J'essai de trouver le rapport MalwareBytes en attendant...

Merci

[eZula]

Je pars du principe que ce fichier lcnski.dll est situé dans C:\WINDOWS\system32, si ce n'est pas le cas corrige pour la suite.

1. Uploade le fichier C:\WINDOWS\system32\lcnski.dll ici http://secubox.gateweb.org/mad.php pour étude ultérieure, il est suspect. Pense à indiquer l'adresse de cette page web (champ "message destiné à notre équipe")

En mode sans échec maintenant :

2. Menu Démarrer > Exécuter, et colle la ligne suivante :

Citation:

regsvr32 /u C:\WINDOWS\system32\lcnski.dll

Valide par entrée, peu importe le message que tu obtiendras.

3. lance HijackThis en cliquant sur "do a system scan only" et coche :

O20 - AppInit_DLLs: lcnski.dll

- clique sur "fix checked". Valide, puis quitte HijackThis.

4. Lance HijackThis > "Open the misc tool section" > "Delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\system32\lcnski.dll
puis clique sur "Ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)

5. Poste un nouveau rapport HijackThis en précisant s'il y a eu des problèmes et comment évolue la situation

[JeanMi66]

Salut,

j'ai procédé comme conseillé sauf dans l'étape 4, onne me propose pas de taper le chemin. Dès qe je fais "Delete a file on reboot", HiJackThis s'arrêt, et je dois redémarrer l'ordi tout seul.

Effectivement, dans la liste, "020 - APPINT_DLLs" n'apparait plus". Le rapport ci-joint...

Merci, que fair à présent ?

[eZula]

Du coup, ce fichier, il a disparu : C:\WINDOWS\system32\lcnski.dll ?

fais ce scan en ligne (coche toutes les cases à chaque fois) http://www.eset-nod32.fr/scanner.html
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

[JeanMi66]

Non, le fichie n'a pas disparu. Une aute anomalie: dans les services locaux, je n'arrive pas à activer les mises à jour windows, le boutton "démarrer" pour lancer le service est "grisé".

J'ai tjs des pubs intempestives. Je lance le scan en ligne et collerai le résultat

[JeanMi66]

Voici le résultat du scan en ligne par ESET... Que puis-je faire à présent selon vous ?
Je ne vois pas trop de solutions: je savegarde sur CD mes images, sons, vidéos, fichiers importants... Et je réinstalle windows, ou linux peut-être (pour ce que je fais: internet, bureautque).

Merci

[pi-2r]

Citation:

Envoyé par JeanMi66

Néanmoins, j'ai des fenêtres intempestives qui s'ouvrent continuellement et qui ne le fesait pas avant. J'ai internet explorer 7. La plupart de ses fenêtres sont pour des jeux en lignes.

Ces fenêtre ne se nommerai pas "CiD:......" ?

[JeanMi66]

Citation:

Envoyé par smoove

Ces fenêtre ne se nommerai pas "CiD:......" ?

Je sais pas ce que c'est. La plupart sont des présentations de jeux en ligne.

[pi-2r]

les publicités CiD ressemble à ça

[JeanMi66]

Ouais, c'est ça, sauf que c'est en plein écran, impossible d'avoir la barre d'adresse, les menu (F10 ni fait rien). Y a même des pub X.

Bon, de toutes façons, je suis partit pour réinstaller un système d'exploitation vu que toutes les solutions proposées ne fonctionnent pas.

Merci, A+

[pi-2r]

il existe pourtant une solution autre que la réinstallation complète du système....la solution se trouve là

ps: j'ai moi même été confronté à ce problème, j'ai suivi la procédure et depuis je n'ai plus aucun soucis