Votre question

trojan ou virus imposssible a enlever.

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Octobre 2005 09:10:56

bonjour.

jai NOD32 comme antivirus et il me detecte un virus ou un trojan mais le probleme c'est quand je fais supprimer 2 secondes apres il me dit encore et encore la meme alerte avec le meme virus.

voici le virus:

- il se trouve dans le system32 et il s'appelle ddcyw.dll
- win32/adware.virtumonde.O application.

donc si quelqu'un serait coment l'enlever definitivement je le remercie d'avance.

Autres pages sur : trojan virus imposssible enlever

25 Octobre 2005 09:20:07

Bonjour,

Télécharge le programme >>Hijackthis 1.99.1<<

Dézippe-le et mets-le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )

Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller
25 Octobre 2005 09:43:53

il me dit dans runing process lsass.exe c'est le virus sasser ca non ? nod 32 detecte les trojans comme sasser car jai testé kaspersky et il me le detectait ?

si non voila le raport :

C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\nod32\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
D:\nod32\nod32kui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\winrarr\WinRAR.exe
C:\Documents and Settings\SYLVIE\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.the818search-co.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.the818search-co.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.the818search-co.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.the818search-co.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} -
c:\windows\system32\ddcyw.dll nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [Up Service] up32.pif
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "d:\nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Up Service] up32.pif
O4 - HKCU\..\Run: [Up Service] up32.pif
O4 - HKCU\..\RunServices: [Up Service] up32.pif
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ddcyw -
C:\WINDOWS\System32\ddcyw.dll[/color]
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\nod32\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe (file missing)
Contenus similaires
25 Octobre 2005 10:11:12

bonjour coche ses lignes pour voir si tu a sasser telecharge fix sasser

coche ses lignes

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.the818search-co.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.the818search-co.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.the818search-co.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.the818search-co.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} -
c:\windows\system32\ddcyw.dll
O4 - HKLM\..\Run: [Up Service] up32.pif
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
O4 - HKLM\..\RunServices: [Up Service] up32.pif
O4 - HKCU\..\Run: [Up Service] up32.pif
O4 - HKCU\..\RunServices: [Up Service] up32.pif
O20 - Winlogon Notify: ddcyw -
C:\WINDOWS\System32\ddcyw.dll

assure toi d avoir acces au fichier cacher

demarrer/poste de travail/outils/option des dossier/affichage/cocher les fichier cacher

supprime ses fichier


c:\windows\system32\ddcyw.dll
up32.pif
C:\WINDOWS\etb\pokapoka75.exe
up32.pif
up32.pif
up32.pif

C:\WINDOWS\System32\ddcyw.dll

redemarre et reposte un log
25 Octobre 2005 10:22:40

jai les versions d'évaluation de 30 jours pour kaspersky pro et nod32, jai remis kaspersky que je trouve mieux et lui me bloque sasser donc c'est bon maintenant sasser est supprimer.

je narrive pas a supprimer le fichier ddcyw.dl car il me dise ce fichier est deja utiliser par une ressource...

si non pour up32.pif comment les supprimer je ne le voit pas dan system32

et pour popapoka.exe il n'y est pas dans le dossier etb comment faire pour le supprimer ?

dsl pour toutes ces questions mais je my connait pas trop en ordinateur.

25 Octobre 2005 10:23:18

jai les versions d'évaluation de 30 jours pour kaspersky pro et nod32, jai remis kaspersky que je trouve mieux et lui me bloque sasser donc c'est bon maintenant sasser est supprimer.

je narrive pas a supprimer le fichier ddcyw.dl car il me dise ce fichier est deja utiliser par une ressource...

si non pour up32.pif comment les supprimer je ne le voit pas dan system32

et pour popapoka.exe il n'y est pas dans le dossier etb comment faire pour le supprimer ?

dsl pour toutes ces questions mais je my connait pas trop en ordinateur.

25 Octobre 2005 10:26:23

a tu afficher les fichier cacher si oui

ddcyw.dl supprime le en mode sans echec

up32.pif sois dans windows soit dans tes document

popapoka.exe (windows ou systeme 32)

si il n y sont pas il ont ete supprimer par hijacthis

dans ce cas reposte un log
25 Octobre 2005 10:28:47

ok je vais voir ca dsl pour tous les messages envoyés ca a buggé et je ne savais pas que ca envoyés .
25 Octobre 2005 10:33:54

L'infection liée au fichier ddcyw.dll (une variante de Vundo) résistera même en mode sans échec.

Dans un premier temps essaie l'outil de chez Symantec : FixVundo.exe

ensuite reposte un rapport HJT
s'il résiste encore, on frappera un peu plus fort...
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS