Video ActiveX eccess

24/05-2007 à 22:23Bonsoir,
Mon pc est infecté par VideoActiveX Access impossible à désinstaller, il existe une floppée de programmes envoyant sur des sites d'antivirus et l'historique est plein de liens pornos.
j'ai McAfee qui a bien détecté le pb et une 10aine de cookies supprimés mais le pb persiste, que pourrais-je faire ?
Merci de me guider, j'ai lu des messages de forum sur le sujet, mais je crains de faire des bêtises, et j'ai l'impression qu'il vaut mieux être aidé plutôt que d'aller à l'aveuglette.
dois-je aller sur hijackthis.de, ou voir SmitfraudFix ? Y a t il risque de perdre des données, dans ce cas dois-je procéder à des sauvegardes ?
Je n'ai pas d'archive en cas de plantage complet... je sais c'est léger, mais je n'ai pas pris le temps de régler la chose avec Mc Afee.
D'avance merci pour votre patience, j'espère que je serai à la hauteur pour suivre vos recommandations.
à bientôt

WindowsXP - McAfee - Firefox 1.5.0.11

25/05-2007 à 12:55Bonjour, Pour créer un point de sauvegarde.
Démarrer > Tous les programmes > Accessoires > Outils système > Restauration du système, tu cliques sur Créer un point de restauration.

Pour ton problème.
Vas sur la page qui suit.
http://www.hijackthis.de/
Tu télécharges le programme, quand tu as lancé le programme
tu cliques sur > Do a system scan and save logfile.
Tu vas avoir un rapport au format texte, tu sélectionnes tous
le texte (tu ne ferme pas le programme !), ensuite tu retournes dans la page donnée et tu colles le rapport dans la fenêtre ou il est indiqué ....
veuillez copier votre log ci-dessous, tu cliques sur EVALUER.
Tous les dangers et petites saletés qui se trouvent sur ton ordinateur
vont être indiqué soit en jaune ou en rouge.
Repère bien les points à supprimer, retournes dans le programme HijackThis, tu valides dans le carré à coté du numéro et tu cliques sur Fix Checkend.

Aide Hijackthis en images http://pageperso.aol.fr/balltrap34/demohijack.htm

@+

----------
C'est pas toujours facile !

25/05-2007 à 18:13Bonjour, il est supprimable avec Smitfraudfix http://www.zebulon.fr/dossiers/66-smitfraudfix.html

25/05-2007 à 22:58Bonsoir, j'ai exécuté hijackthis mais 4 fichiers apparaissant dans le logfile n'étaient pas dans la liste pour le fix checkend. Je l'ai qd même lancé pour 8 fichiers mais la bécane est tjs envahie... je tenterai ma chance demain avec smitfraudfix avec j'espère + de succès,
merci beaucoup, je vous tiens au courant, bonne soirée

26/05-2007 à 13:00Bonjour, je rame, mais j'y arriverai !
Je voudrais rebooter mais en invite dos de manière à relancer smitfraudfix parce que lorsque je démarre en mode sans échec les programmes pour m'envoyer sur les sites internet de soi-disant sites d'anti virus sont toujours là et ne sont pas supprimés.
J'ai constaté d'ailleurs que le répertoire Video ActiveX Access existe toujours.
Les 4 fichiers qui n'ont pu être complètement détectés pour leur destruction sont imsmain.exe, vmsmn.exe, iesmin.exe et iesbpl.dll, du répertoire de video Active X access justement !

Donc, voici mes questions : comment pourrais-je redémarrer sur invite dos ?
Comment faire pour télécharger avant hijackthis puisqu'il s'ouvre sans me permettre de le télécharger ?
Merci beaucoup pour vos réponses, j'espère qu'une bonne âme pourra me suivre, @ bientot

26/05-2007 à 13:50Puisque tu connais les fichiers à problèmes...
Tu démarres en mode sans échec, tu renommes les fichiers > imsmain.exe, vmsmn.exe, iesmin.exe et iesbpl.dll
En imsmain.exe-infecté, vmsmn.exe-infecté, iesmin.exe-infecté et iesbpl.dll-infecté, si tu peux renommer le répertoire Video Active X, fais le!
Ensuite tu redémarres et tu supprimes les fichiers.

----------
C'est pas toujours facile !

27/05-2007 à 14:15Merci grolou et J_D
Bien, soyons zen...
j'ai procédé ainsi : renommer les fichiers infectés puis supprimer le contenu du dossier sur c:\ après redémarrage j'ai pu supprimer dossier video activeX access.
Seulement j'ai toujours le logiciel espoin qui s'affiche dans la barre des tâches et j'ai essayé de décocher des programmes dans msconfig, mais ça ne change rien. Hijack ne peut rien détecter et smitfraudfix non plus. Auriez-vous d'autres idées ?

J'ai découvert qu'il y a un conflit entre deux comptes administrateur, mais pour régler ça j'ouvrirai une autre discussion.

Je ne sais pas si je dois d'abord régler cette histoire de conlit ou celle du cheval de troie. (je soupçonne le conflit d'empêcher un nettoyage correct bien que je l'ai lancé sur les deux comptes...

Merci de me répondre pour le pb cheval de troie et me donner votre avis sur dernier point.
merci de votre patience, à bientôt

27/05-2007 à 15:00Solution trouvée sur internet...
Ce qu'il faut faire

1- Dans le menu Démarrer ouvre 'Exécuter...' puis tape, sans guillemets, "regedit". Le Registre Windows s'ouvre.
2- Ouvre HKEY_CURRENT_USER puis Software puis Microsoft puis Windows puis Policies puis Explorer.
3- Dans la partie gauche, regarde la colonne 'Type' quand tu vois 'C:\Program Files\Video Access ActiveX Object' supprime-le.

A ce stade, nous avons supprimé la pub dans Internet Explorer.
Tu te souviens, quand tu veux supprimer certain fichier de Video[...] ça te dis que les fichier sont en cours d'éxécution. Et bien pour les supprimer :

4- Redémarre ton ordinateur.
5- Dans 'Exécuter' tape 'explorer'
6- Va dans C:\Program Files\
7- Supprime le dossier Video Access[...]

Sur cette page http://www.infos-du-net.com/forum/266306-11-virus-asafetyproject-virus-video-access-activex-object

Je peux me tromper mais deux comptes administrateurs???

----------
C'est pas toujours facile !

28/05-2007 à 17:22Hello...
Désolée, j'aimerais tant que àa marhce... impossible de trouver Video[...] dans Regedit. et j'ai lu énormément de lignes ! par contre qd je suis dans regedit et windows, au-dessus de software il y a un dossier intitulé "S" tout court, est-ce normal ou suspect ? J'ai à l'occasion fait des copies d'écran de ce dossier S et de celui de Explorer, si ça te dit d'y jeter un oeil. Je les envoie
iamj regedit Explorer
imaj rgedit reprertoire S

Et pour ce qui est du conflit administrateur, sans blague, c'est le cas. En effet, en temps normal l'uc démarre en HP_Propriétaire admisnistrateur .
Mais en mode sans échec elle propose le choix avec aussi Administrateur.
Dans HP_Propiètaire il existe un profil (droits administrateur) alors que dans Administrateur existe le profil Administrateur (droits administrateurs) et HP Propriétaire (droits administrateur)... quel gros kk !

Au final, me voilà toujours sans le répertoire Video... que j'ai pu virer via l'invite dos. Mais tjs avec le fichu espion...
merci du coup de main à bientot

28/05-2007 à 17:53Hello,
Est-ce que je peux déposer les rappors de smartfraudfix et hijackthis ? je les ai sauvegardés avant de faire nettoyage et après. Merci par avance si vous êtes d'accord pour les étudier.

28/05-2007 à 19:39Pas de problème pour Hijackthis pour moi.
Smartfraudfix je ne connais pas désolé.

----------
C'est pas toujours facile !

28/05-2007 à 23:37bonsoir, je suis 1 peu tardive, mais j'avais du boulot... de toute façon cette histoire m'occupe l'esprit donc je ne suis pas efficace. Essayons d'avancer : ci dessous hijackthis :

Je n'ai pas pu le soumettre à zebulon.fr puisque j'ai raté mon inscription (trop pressée mauvaise manip) et ils ne m'ont pas répondu.

Logfile of HijackThis v1.99.1
Scan saved at 16:05:58, on 28/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\WINDOWS\system32\cmd.exe
C:\Mes téléchargements\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\program files\mcafee\virusscan\scriptcl.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: CPub Object - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\program files\mcafee\mps\mcpopup.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiteAdvisor] C:\Program Files\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Opware12] "C:\Program Files\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\Program Files\McAfee\MSK\MskAgent.exe
O4 - HKLM\..\Run: [MPFTray] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,83/mcinsctl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,20/mcgdmgr.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5038/mcfscan.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\6066\SiteAdv.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: McAfee Application Installer Cleanup (0066581180353917) (0066581180353917mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP\006658~1.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\6066\SAService.exe

Important : ou pas après tout, j'ai remarqué que smartfraudfix avait détecté un fichier "douteux" c:\windows\ALCMTR.exe qu'il a supprimé mais que je vois toujours...
Merci pour ton aide, à +.

29/05-2007 à 01:08Rien de suspect à signaler avec Hijackthis
Bonne journée.

----------
C'est pas toujours facile !

29/05-2007 à 09:14merci J_D, c'est ce que je craignais, bonne journée

29/05-2007 à 09:40ALCMTR.exe est installé avec la carte son, ou le chipset qui gère le son RealTek AC97. Il envoie des infos chez Realtek mais n'est pas méchant.
"Realtek AC97 Audio - Gestionnaire d'évènements. Fichier espion utilisé pour surveiller les actions de quelqu'un . Il ne constitue pas une menace, comme les programmes de contrôle à distance, mais il est utilisé par Realtek pour recueillir des données sur leurs clients" http://cs76.free.fr/processus-a.php

29/05-2007 à 13:49Tu peux utiliser Ccleaner et faire le ménage des fichiers temps.
http://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

Supprimer fichiers temps.
Allez dans "Démarrer" ensuite "Rechercher" et cherchez les fichiers avec ces extensions:

*.tmp
*.chk
*.bak
*.gid
~*.*
*.~*

Entre chaque type de fichiers mettez un point virgule ( ; ).
Exemple: le premier type de fichier *.tmp sera séparé du deuxieme type de fichiers *.chk par un point virgule ";" et ainsi de suite.
Comme ceci :*.tmp;*.chk;*.bak;*.gid;~*.*;*.~*
Vous pouvez faire un copier coller!

*.tmp;*.chk;*.bak;*.gid;~*.*;*.~*

Suite a cette recherche, Effacez tous les fichiers que vous aurez trouvé, faites très attention de bien écrire les extensions de fichiers.

----------
C'est pas toujours facile !

30/05-2007 à 23:51Hello,
J_D : je ferai le nettoyage avec Ccleaner demain.


grolou : ok pour ALCMTR.exe, ok je ne pense pas y toucher.

questions :
j'ai copié le http vers lequel envoie le cheval de troie : http://www.spylocked.com/?aff=334
est-ce que je peux faire qqchose avec ça ?

Je pensais faire une copie du contenu de l'onglet démarrage dans msconfig, peut-etre y a t il des infos qui seraient parlantes pour vous ?

merci, à demain, bonne nuit.

31/05-2007 à 22:59Bonsoir,
ce soir j'ai fait tourner ccleaner et spybot. Ce dernier a bien détecté des chevaux de troie (ne 20aine qd même!!!) dont ceux concernant VideoActiveXaccess, le ménage est fait, cool !

mais, et oui il y a un mais ... il reste toujours cet icone
ce bouton avec la croix qui m'affiche encore le message d'alerte
régulièrement et bloque temporairement la saisie clavier, et envoie sur spylocked.com... comment trouver cet exécutable ???
Je relance demain matin une analyse complète mcafee, on verra s'il trouvera qq chose.

merci pour les pistes, à bientôt... je crois que la nuit sera moins stressée aujourd'hui... bonne nuit alors !

01/06-2007 à 00:48Avec un Ctrl + Alt + sup ou del, tu devrais localiser cet intrus.

----------
C'est pas toujours facile !

01/06-2007 à 11:20j'avais déjà essayé... une autre piste ?
merci