Bonjoir,

je suis un peu désarmé face à un cheval de troie que je n'arrives pas à enlever ... je m'explique

Un ami m'appelle vendredi me demandant de désinfecter son PC car il a sois-disant attrapé un virus en surfant sur un site porno... (le sida du net ) Après le passage du fou rire en me moquant sincèrement de lui et après lui avoir fait la morale quant à ce genre de site je m'empresse de passer un coup d'Avast Virus Cleaner en mode sans echec croyant que le PC est infecté par un virus (toutes les pubs que l'on peut trouver en surfant sur les sites standard se sont transformés en publicité pornographiques).

Au début ... ça fait rire, mais par la suite, ça agaçe sachant que je n'ai pu supprimer cette merde (excusez l'expression mais s'en est bien une !!!).

J'ai donc procédé aux actions suivantes :
- Avast Virus Cleaner en mode S-E
- Spybot était résident mais mal paramétré, je n'arrives pas à télécharger Ad-Aware ... le PC reboot à chaque fois (peut être un souci d'alim ou de mémoire car j'ai droit au BSOD)
- Je passe (toujours en mode sans échec) un coup de A2Free qui ne trouves rien
- Je passe Spybot (mis à jour qui ne trouves rien
- Je fume une cigarette pour réfléchir ...
- Je retrouve dans l'utilitaire de désinstallation de programmes de Windows le moyen de désinstaller Instant Access, je m'exécute ainsi ...
- Je passe un coup de CCleaner 1.30 basic qui me fait un gros nettoyage de printemps
- Je passe un coup de HiJackThis puis l'analyse et je remarque 2 entrées de la base de registre en relation directe avec Instant Access que je m'empresse de supprimer.
- Je vérifies que les tmp, les cookies et le reste correspondant aux traces de IE soient bien supprimées (+ vidage corbeille)
- Je reboote le PC et passe à nouveau un coup de CCleaner + Spybot qui ne me trouvent plus rien (cette fois-ci en mode normal)
- Je vérifies et au bout de quelques pages (technifree ... gratilog ... météo France et Yahoo) le problème réapparaît sous forme de pub 'pop up' ainsi que le remplacement des pubs de Yahoo par de jolies jeunes femmes ...
- Je repasse un HJT que voici et je désespère (rien trouvé sur la toile de concret au sujet d'Instant Access Dialer).
J'aimerai avant d'être plus radical avoir votre avis sur le log hjt :

[b:5ac81158c6]
[Logfile of HijackThis v1.99.1
Scan saved at 15:56:00, on 23/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\System32\autorun.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .tif: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4BDDABB-8F62-4105-A8E8-58E50C0FC269}: NameServer = 212.27.53.252 212.27.54.252
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe[/b:5ac81158c6]

C'est quoi ça ? :

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe

Le Antipub m'a l'air louche aussi, je connais pas
Et ça :
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_XP.cab
très louche (surtout vu le contenu de la page à la racine du domaine ~~ )

Tu peux tenter aussi de désactiver à peu près tout ... Y'a pas mal de choses qui servent à peu près à rien dans cette liste.

Edit : selon le virusscan.jotti ... antivir le détecterait, en mode heuristique, comme variant possible de malware, ce qui me semble probable. (Bizarrement je viens de faire une MàJ d'antivir, et un scan heuristique de ce fichier ne me donne pas la moindre alerte )

re-Edit : merci pour le changement de couleur, s'mieux ^^'

Je suppose que ton copain est en XP ??
As-tu pas pu revenir à d'anciennes restauration, pas à pas, avant qu'il chope la saloperie ??
Il faut aussi vider complètement le cache internet, car des fois, ça peut être un réservoir de saloperies.
Essaies aussi d'installer EasyCleaner (Tony Arts) qui cherchent des fichiers inutiles et corrige la BR
Sinon recherches les fichiers sur son disque pour Instant Access Dialer ou chaque mot séparé. Faire idem dans la BDR.
Quels sont les fichiers qui se lancent automatiquemet au démarrage ou en cours d'execution ??
Quel est le type de connexions (RTC ou ADSL) . As tu vérifié si plusieurs types de connexions se lance.
Quel est le pare-Feux utilisé pour rentrer dans la config et voir si problèmes.
Je ne comprends pas tu ne peux pas installer Ad-Aware.
Si tu as le temps, installes aussi PestPatrol, au cas où.
A+

Le mal vient de là:
O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_XP.cab

Supprimer cette entrée avec HiJackThis,

Vider complètement les caches de tous les navigateurs présents sur le PC et vider également le cache de Java,

Chercher l'éventuelle présence sur le disque dur de "egaccess4_1063_XP.cab" et/ou de "*_1062.dll" et/ou de "*_1063.dll" (ou * est n'importe quelle occurrence, par exemple "egaccess4_1063.dll") et les supprimer (ne pas les mettre dans la corbeille mais les supprimer),

Supprimer [u:120e377f76]tous[/u:120e377f76] les fichiers "*.tmp" et "~*.*" contenus dans X:\Documents and settings\[i:120e377f76]Nom de l'utilisateur[/i:120e377f76]\Local Settings\Temp où X: est la lettre du lecteur où Windows est installé,
En cas de résistance d'un ou plusieurs fichiers qui ne voudraient pas se laisser supprimer, utiliser Unlocker,

Vérifier les sous-clés présentes dans cette entrée de la base de registres:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Par défaut on doit trouver: crypt32chain, cryptnet, cscdll, ScCertProp, Schedule, sclgntfy, SensLogn, termsrv, wlballoon mais attention cette liste n'est pas exhaustive il peut très bien y avoir d'autres entrées légitimement placées à cet endroit. Par contre si tu trouves egaccess tu effaces la clé sans hésiter (bien entendu tu auras fait une sauvegarde de la base de registres avec ERUNT au préalable),

Enfin rebooter.

oui j confirme vire 016 :

O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_XP.cab

du boulot pour viré egacess !

tu peux aussi donner un coup d'xcleaner
http://www.xblock.com/download/xcleaner_free.exe

pense aussi à utiliser les outils de Spybot en mode avancé
(Bho, activex)

et pour te prémunir
Spybot avec vaccination + fichiers host et
Spywareblaster

Le tabac aussi c'est pas bon....

Bonjour et merci à tous

Vous avez effectivement le même doute que moi sur la même entrée de BdR ... par contre, je ne connaissais pas l'implication des fichiers egaccess* qui sont à priori la source du mal.

J'imprime le contenu des posts et je m'en vais voir tout cela.


Je vous tiens au courant dès que j'ai effectué la manip ...

Encore merci de vos réponses (rapides !!)

et le lien du : 016 , propose un chargement qu il vaut mieux éviter ! :

http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1063_XP.cab

hello quelqu un a le meme problème que toi sur ce forum et il y a une réponse avec Brute force uninstaller , en milieu de page qui pourrait t intéresser , bye :

http://forum.telecharger.01net.com/te ... mo-399578/messages-1.html
___

Merci Pakalou ... je vais regarder ça.

J'ai rendez-vous demain pour essayer d'erradiquer le pb.

Je vous tiens au courant.



[b:e260f6cda9]Edit du 27/06/06 à 22h30 :[/b:e260f6cda9]

Merci à tous, c'était effectivement l'entrée du registre O16. Après analyse de la BdR, j'ai retrouvé à 3 endroits différents la référence à [i:e260f6cda9]egaccess[/i:e260f6cda9] que j'ai évidemment supprimé.
J'ai repassé un coup d'Avast / Spybot et CCleaner pour courroner le tout. Un nouveau log HiJack ne présente plus rien d'anormal (j'ai viré les 36 BHO's persistants).

Voilà, le PC est propre !

Encore merci