Trojan msclock32.dll

Bonjour,

Mon anti-virus (AVG) me signale la présence du Trojan C:\\WINDOWS\system32\msclock32.dll.

Que dois-je faire ?

Merci par avance.

Bonjour et bienvenue.

I) Redémarre en mode sans échec (tapote la touche F8 au démarage de ton ordinateur)


II) Supprime ce fichier :

C:\\WINDOWS\system32\msclock32.dll.



Continu ensuite avec ce qui suit pour supprimer définitivement le malwares et ses traces ou compagnons :



I) Téléchargement des logiciels :


1) Télécharge Ccleaner.

2) Télécharge Ewido V4.

3) Télécharge HijackThis. et enregistre le dans un répertoire spécialement dédié.


II) Utiliser avec les logiciels :



1) Lance Ccleaner, clique sur analyse. Quand elle est terminée, clique sur lancer le nettoyage. Si tu as des problème n'hésite pas à regarder son Tuto explicatif


2) Lance Ewido puis :

a) Mets le à jour en cliquant update now.
b) Redémarre en mode sans échec (tapote la touche F8 au démarage de ton ordinateur)et
c) Fais un "complete system scan".
d) A la fin du scan, vérifie qu'il y est bien marqué "delete à côté de chaque malware et clique seulement sur : "Apply all actions"
e) Ensuite, clique sur "Save Report " puis "Save report as" et sauve le rapport dans tes documents.
f) Redémarre normalement et post le rapport.

Si tu as des problème ou que tu ne comprends pas quelques chose n'hésite pas à regarder ce tuto explicatif by Rub_Mic.


3) Lance HijackThis et clique sur "Do a system scan and save logfile". A la fin du scan, le bloc note vas s'ouvrir. Post en le contenu en fesant un copier-coller Post en le contenu en fesant un copier-coller.




[ Ce message a ete modifié par : : freeman206 le 25-07-2006 16:53 ]

Merci pour cette réponse rapide.
J'ai suivi tes instructions, voici le rapport ewido :
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 18:11:41 25/07/2006

+ Scan result:



C:\RECYCLER\S-1-5-21-3357523268-2842281973-3940240623-500\Dc1.dll -> Adware.NaviPromo : Cleaned.


::Report end

Et le rapport HijackThis :

Code:

  Logfile of HijackThis v1.99.1
  Scan saved at 18:25:45, on 25/07/2006
  Platform: Windows XP SP1 (WinNT 5.01.2600)
  MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
  
  Running processes:
  C:\WINDOWS\System32\smss.exe
  C:\WINDOWS\SYSTEM32\winlogon.exe
  C:\WINDOWS\system32\services.exe
  C:\WINDOWS\system32\lsass.exe
  C:\WINDOWS\system32\svchost.exe
  C:\WINDOWS\System32\svchost.exe
  C:\WINDOWS\Explorer.EXE
  C:\windows\system\hpsysdrv.exe
  C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
  C:\WINDOWS\System32\hphmon05.exe
  C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  C:\Program Files\Multimedia Card Reader\shwicon2k.exe
  C:\WINDOWS\ALCXMNTR.EXE
  C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
  C:\Program Files\QuickTime\qttask.exe
  C:\Program Files\Ahead\InCD\InCD.exe
  C:\WINDOWS\autoclk.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
  C:\Program Files\ewido anti-spyware 4.0\ewido.exe
  C:\program files\mailskinner\mailskinner.exe
  C:\Program Files\MSN Messenger\MsnMsgr.Exe
  C:\WINDOWS\system32\spoolsv.exe
  C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
  C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
  C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
  C:\Program Files\ewido anti-spyware 4.0\guard.exe
  C:\Program Files\Ahead\InCD\InCDsrv.exe
  C:\WINDOWS\System32\svchost.exe
  C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
  C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe
  
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/
  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
  F2 - REG:system.ini: Shell=
  O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
  O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll
  O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
  O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
  O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
  O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
  O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
  O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
  O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
  O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
  O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
  O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
  O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
  O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
  O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
  O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
  O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
  O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
  O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
  O4 - HKLM\..\Run: [autoclk] autoclk.exe
  O4 - HKLM\..\Run: [adiras] adiras.exe
  O4 - HKLM\..\Run: [Ultra Service] ultraservice.exe
  O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
  O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
  O4 - HKLM\..\Run: [Windows File Migration Wizard] HIMENSYST.EXE
  O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
  O4 - HKLM\..\RunServices: [Ultra Service] ultraservice.exe
  O4 - HKLM\..\RunServices: [Windows File Migration Wizard] HIMENSYST.EXE
  O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe
  O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
  O4 - HKCU\..\Run: [Ultra Service] ultraservice.exe
  O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
  O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
  O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
  O4 - HKCU\..\RunServices: [Ultra Service] ultraservice.exe
  O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
  O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
  O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
  O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
  O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
  O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
  O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
  O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
  O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122739351437
  O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://vhost.oddcast.com/getFlash.php?u=codebase
  O17 - HKLM\System\CCS\Services\Tcpip\..\{CC15ACAE-55E6-44B9-8444-5CB51BDA09EC}: NameServer = 84.103.237.146 86.64.145.146
  O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
  O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
  O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
  O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
  O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
  O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
  O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
  O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
  O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
  O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
  O23 - Service: Windows Configuration Loader - Conexant Systems, Inc. - (no file)

I) Relance Hijackthis, coche les lignes qui suivent et clique sur fix checked :

O3 - Toolbar: HP View - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O4 - HKLM\..\RunServices: [Ultra Service] ultraservice.exe

O4 - HKLM\..\RunServices: [Windows File Migration Wizard] HIMENSYST.EXE

O4 - HKCU\..\Run: [Ultra Service] ultraservice.exe

O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX



Pour ta ligne 017 je trouve ceci :

Country: France
City: Rotterdam, Zuid-Holland Mais ne la fix pas !!!



II) Assure toi d'avoir accés au fichier caché :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer l'option : Afficher les fichiers et dossiers cachés
Désactiver l'option : Masquer les extensions des fichiers dont le type est connu
Désactiver l'option : Masquer les fichiers protégés du système d'exploitation
Puis cliquer sur "Appliquer à tous les dossiers"

III) Redémarre en mode sans échec et supprime ce fichier :


E:\windows\system32\ultraservice.exe



IV) Repasse un coup de Ccleaner




V) As-tu encore des problèmes ?



[ Ce message a ete modifié par : : freeman206 le 25-07-2006 19:55 ]

Bonjour,

Grace à ton aide, tout à l'air de fonctionner correctement.

Merci.

Bonsoir ou bonne nuit...


Si tu n'as plus de question ou de problème peux-tu éditer ton topic pour qu'il apparaisse comme résolu. Merci

Content que tu ais résolu ton problème ++

Freeman206