Se connecter / S'enregistrer
Votre question

Virus winesm32 qui reviens à chaque fois.

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Mars 2010 10:57:00

Bonjour,
Je suis constamment infecté par le virus Winesm32.
A chaque fois que je le fait disparaître, il reviens. Alors je me dis qu'il doit en rester quelque part.
Mais là je ne sais plus quoi utiliser pour y remédier

Je poste le rapport hijackthis pour commencer:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:55:05, on 05/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Securitoo\Controle Parental\bin\optproxy.exe
C:\WINDOWS\System32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sourc...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O17 - HKLM\System\CCS\Services\Tcpip\..\{75F1ABCE-79F1-4F98-9040-3359EAEACB57}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{91ABBB39-E3DB-4C42-BAE6-754D679EC1C0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{75F1ABCE-79F1-4F98-9040-3359EAEACB57}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Service Google Update (gupdate1c9e9d6a36211da) (gupdate1c9e9d6a36211da) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Securitoo Control Parental (OPTENET_FILTER) - Securitoo - C:\Program Files\Securitoo\Controle Parental\bin\optproxy.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\System32\PSIService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4951 bytes

Merci à vous.

Autres pages sur : virus winesm32 reviens fois

5 Mars 2010 11:44:42

Commence par virer les programmes "suspects" genre toolbars, logiciel "gratuit" pour faire des écrans de veille, etc.. et ceux dont tu n'as pas l'utilité.
Ensuite, si tu fais du peer-to-peer, (P2P) je te conseille d'arrêter(au moins pour l'instant), et encore plus si tu utilises KazAa (un truc comme ça).
Maintenant télécharge Trend Micro Internet Security Pro 2010, il a 30j gratuit et est très puissant : http://www.01net.com/telecharger/windows/Securite/firew... une fois installé, ouvre le centre de sécurité(disponible normalement dans le coin inférieur droit de ta barre des tâches) et lance un scan.
Ensuite dis nous ce qu'il dit.S'il te propose de mettre en quarantaine certains fichiers,accepte.
Enfin dis nous si sa marche, du moins ca aidera.
Si tu veux "booster" ton pc, télécharge glary utilities (gratuit) :http://www.01net.com/telecharger/windows/Utilitaire/sys... et installe le puis lance la maintenance en 1 clic ou alors choisis les modules tels que la suppression des raccourcis invalides.
5 Mars 2010 12:07:45

Merci d'avoir répondus.
Tout d'abord je n'utilise pas de toolbar ou autre logiciel suspect et pas de P2P.
Ensuite pour le reste j'utilise Antivir et MBAM. Ils m'ont trouver ce fichier Winesm32 ainsi que Avdrn (.dat je crois).
Après désinfection, le virus reviens sous 2/3 jours.
Donc voilà.
Contenus similaires
5 Mars 2010 12:13:47

ok..c'est bizarre..
Que fais tu habituellement sur ton pc?
Et qu'as-tu fais les 2/3 jours lorsque le virus est revenu?
5 Mars 2010 12:35:23

Le pc ne me sert que pour internet et de la bureautique.
Et bien justement rien, je me retrouve soudain avec un pc qui rame.
Dans le gestionnaire des tâches, j'ai le processus svchost.exe qui est à 50% sans que je fasse quelque chose et quand je vais dans msconfig, il y a ce winesm32 qui se lance à chaque démarrage.
Je ne peux le supprimer qu'avec hijackthis.
5 Mars 2010 15:11:28

C'est embêtant c'est sûr..si jamais tu es prêt à n'importe quoi, dis le et je te donne l'ultime solution qui va te l'enlever (et il ne reviendra pas de si tôt!)!!
Anonyme
6 Mars 2010 14:17:44

bjr, j'ai inscrit sur ce forum spécialement pour vous répondre, j'ai souffert avec ce virus... mon pc été infecté par ce meme virus 2 fois dans seulement 5 jours, en cherchant sur le web j'ai trouvé plusieurs solutions mais y a seulament 1 qui a marché.. elle appartient au " gloudoc" sur le forum: http://forum.telecharger.01net.com/microhebdo/questions...

soit:

1.Téléchargez MalwareBytes (je ne travaille pas pour eux, pas d’actions en bourse, rien) et l’installer
2. Désactivez internet
3. Faites une recherche rapide par MalwareBytes, faire éliminer tout ce qu’il trouve
4. Avec la fonction Rechercher Tous les fichiers et dossiers de Windows, recherchez « winesm », sur votre disque système, en utilisant Options avancées pour scanner les dossiers cachés et système
5. Vous localisez ainsi winesm32.exe, qui se trouve logiquement dans le dossier C:\Documents and Settings\votre nom d’utilisateur\Menu Démarrer\Programmes
6 Revenez dans MalwareBytes, allez à l’onglet Outils, sélectionnez FileAssassin
7 Faites-lui assinez la « file » winesm où vous l’avez trouvée
8 L’ordinateur va être arrêté, puis redémarré.
9 Refaites la recherche pour vérifier que winesm32 a disparu de son dossier
10 Réactivez internet

j'espere qu'ellle soit utile.
6 Mars 2010 19:43:57

Je ne sais pas, mais au pire on peut remettre l'ordinateur en configuration d'usine, donc tout effacer et recommencer à zéro..
7 Mars 2010 14:22:37

Citation :
bjr, j'ai inscrit sur ce forum spécialement pour vous répondre, j'ai souffert avec ce virus... mon pc été infecté par ce meme virus 2 fois dans seulement 5 jours, en cherchant sur le web j'ai trouvé plusieurs solutions mais y a seulament 1 qui a marché.. elle appartient au " gloudoc" sur le forum: http://forum.telecharger.01net.com/microhebdo/questions...

soit:

1.Téléchargez MalwareBytes (je ne travaille pas pour eux, pas d’actions en bourse, rien) et l’installer
2. Désactivez internet
3. Faites une recherche rapide par MalwareBytes, faire éliminer tout ce qu’il trouve
4. Avec la fonction Rechercher Tous les fichiers et dossiers de Windows, recherchez « winesm », sur votre disque système, en utilisant Options avancées pour scanner les dossiers cachés et système
5. Vous localisez ainsi winesm32.exe, qui se trouve logiquement dans le dossier C:\Documents and Settings\votre nom d’utilisateur\Menu Démarrer\Programmes
6 Revenez dans MalwareBytes, allez à l’onglet Outils, sélectionnez FileAssassin
7 Faites-lui assinez la « file » winesm où vous l’avez trouvée
8 L’ordinateur va être arrêté, puis redémarré.
9 Refaites la recherche pour vérifier que winesm32 a disparu de son dossier
10 Réactivez internet

j'espere qu'ellle soit utile.


En faite j'ai réussis à le retirer avec le programme combofix et avec l'aide d'une personne expérimenté.

Merci pour l'info. ;) 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS