Se connecter / S'enregistrer
Votre question

virus impossible a enlever (résolu merci a tous)

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Mars 2006 22:55:01

Aidez moi s'il vous plait!
J'ai un virus dont je ne sais pas me debarrasser!! mon pc ram et des pages internet s'ouvre toutes seul, je ne sais pas quoi faire!
merci de m'aider

Autres pages sur : virus impossible enlever resolu merci

17 Mars 2006 22:56:06

Bonsoir,

Télécharge le programme >>Hijackthis 1.99.1<<

Dézippe-le et mets-le dans un dossier specifique (exemple : ..\Bureau\Hijackthis\Hijackthis.exe )

Lance-le
Clique sur "Do a system scan and save a logfile" et poste le rapport avec copier/coller
17 Mars 2006 22:56:42

ok merci je fais ca
Contenus similaires
17 Mars 2006 23:02:30

voila le resultat :
Logfile of HijackThis v1.99.1
Scan saved at 23:01:23, on 17/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\FICHIE~1\ooiw\ooiwm.exe
C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\ABox.exe
C:\Program Files\Prevx1\PXConsole.exe
C:\Program Files\Prevx1\PXAgent.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\DESCAMPS\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
C:\Documents and Settings\DESCAMPS\Bureau\hitjack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe
O4 - HKLM\..\Run: [newname] C:\\newname3.exe
O4 - HKLM\..\Run: [NewFrn] C:\WINDOWS\newfrn.exe
O4 - HKLM\..\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [Error Safe] C:\Program Files\Error Safe Free\ers.exe /scan
O4 - HKLM\..\Run: [PrevxOne] C:\Program Files\Prevx1\PXConsole.exe
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKCU\..\Run: [ooiw] C:\PROGRA~1\FICHIE~1\ooiw\ooiwm.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int13.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab...
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\q668lgju16o8.dll
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)

17 Mars 2006 23:08:45

plusieurs infections dont Look2Me (responsable des popups intempestifs)

1/ installe d'urgence un pare-feu, par exemple ZoneAlarm qui est simple et gratuit.

2/ On commence par essayer de virer Look2Me :
(ligne O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\q668lgju16o8.dll)

essaie l'uninstaller édité par les auteurs de Look2Me

ATTENTION seuls 2 accès à la page sont autorisés par jour et par IP.
NOTE BIEN LA KEY (sur la 2ème page) qui sera nécessaire pour utiliser l'uninstaller

Dis-nous ce que ça donne, et poste un nouveau rapport HJT.
17 Mars 2006 23:10:27

bien merci, je vais faire out cela et vous tiens au courant
a b 8 Sécurité
17 Mars 2006 23:13:50

C'est pour un record ?!

Tu as une infection de type Look2me
Imprime ces instructions, ou colle les dans un fichier texte.
Regarde bien les trois indications en bas, avant de commencer la procédure.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=7

. Ferme toutes les fenêtres actives.
. Lance l'outil Look2Me-Destroyer.exe.
. Coche Run this program as a task
. Un message s'affichera :
"Look2Me-Destroyer will close and re-open in approximately 10 seconds"-> OK
. Il se relancera après les 10 secondes, puis appuie sur le bouton Scan for L2M.
. Les icônes de ton Bureau vont disparaître.
. Le scan termine, clique sur Remove L2M
. Un nouveau message Done Scanning apparaîtra, clique sur OK.
. Suivi de Done removing infected files! Look2Me-Destroyer will now shutdown your computer -> OK.
. Ton PC va s’éteindre.
. Démarre ton PC normalement.
. Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt ,ainsi qu'un rapport HijackThis.

1/ Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

2/ Si tu reçois un message de ton firewall disant que l'outil tente d'accéder à l'internet : Accepte ou desactive ton firewall

3/ Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/new/images/lib/MSWINSC...

-----------------------------------------

1/ Redemarre en mode sans echec
/!\ Tu n'as pas acces a Internet dans ce mode, note bien les instructions /!\

Desinstalle si existe
WebHancer
ErrorSafe

2/ Lance Hijackthis ->Do a system scan only
->Coche les lignes puis Fix checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe
O4 - HKLM\..\Run: [newname] C:\\newname3.exe
4 - HKLM\..\Run: [NewFrn] C:\WINDOWS\newfrn.exe
O4 - HKLM\..\Run: [webHancer Agent] C:\Program Files\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program Files\webHancer\Programs\whsurvey.exe
O4 - HKLM\..\Run: [Error Safe] C:\Program Files\Error Safe Free\ers.exe /scan
O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKCU\..\Run: [ooiw] C:\PROGRA~1\FICHIE~1\ooiw\ooiwm.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int13.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload...
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab...

Assure toi d'avoir acces au dossier/fichiers caches
->Panneau de configuration
->Options dossiers
->Coche Afficher les dossiers caches
Decoche Masquer les extensions...
Decoche Masquer les fichiers proteges...

3/ Suppime ces fichiers/dossiers si existe

C:\\keyboard3.exe
C:\\mousepad3.exe
C:\\newname3.exe
C:\WINDOWS\newfrn.exe
C:\Program Files\webHancer
C:\Program Files\Error Safe Free
C:\WINDOWS\ABox.exe
C:\WINDOWS\logon.exe
C:\PROGRA~1\FICHIE~1\ooiw\

Redemarre normalement

4/ Lance un nettoyage Ccleaner
(N’oublie pas de supprimer les Erreurs (a gauche))

5/ Lance un scan Ewido(mis a jour)
Sauvegarde puis colle le rapport Ewido

6/ Fais un scan en ligne Panda (avec IE)
http://www.pandasoftware.com/activescan
Sauvegarde,colle le rapport

7/ Reposte un log Hijackthis

As tu encore des problemes ?
17 Mars 2006 23:20:30

oulala attend, je vais tester ca merci beaucoup pour vos reponses! ca fait 3 jours que je lutte, peut vais je trouver enfin une solution
18 Mars 2006 00:02:50

j'ai tout fait sauf que je n'ai pas trouvé
C:\PROGRA~1\FICHIE~1\ooiw\

apres ou je trouve :
4/ Lance un nettoyage Ccleaner
(N’oublie pas de supprimer les Erreurs (a gauche))

5/ Lance un scan Ewido(mis a jour)
Sauvegarde puis colle le rapport Ewido

merci pour ton aide précieuse
18 Mars 2006 00:09:42

j'ai beau cherché mais je ne vois pas le fichier
C:\PROGRA~1\FICHIE~1\ooiw\
quand je vais dans le gestionnaire de tache, en effet, je vois que ooiwl fonctionne
ou se cache t'il ce virus?
18 Mars 2006 00:10:24

CCleaner
ewido
;-)

après poste un nouveau rapport HJT, car il en restera peut-être encore à virer !

---------------------------------------

C:\PROGRA~1\FICHIE~1\ooiw\
= C:\Program Files\Fichiers communs\ooiw\
18 Mars 2006 00:11:18

ou je trouve ces logiciels?
18 Mars 2006 00:12:34

ok c'est bon il suffisait de cliquer sur les noms lol
18 Mars 2006 00:12:59

je t'ai donné les liens, t'as plus qu'à cliquer sur le nom des logiciels...
18 Mars 2006 01:20:22

voici le rapport d'ewido :
HKLM\SOFTWARE\Classes\CLSID\{6001CDF7-6F45-471b-A203-0225615E35A7} -> Adware.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\webhancer -> Adware.WebHancer : Nettoyer et sauvegarder
HKLM\SOFTWARE\webhancer\CC -> Adware.WebHancer : Nettoyer et sauvegarder
C:\data -> Downloader.IstBar.nh : Nettoyer et sauvegarder
C:\dl.exe -> Downloader.Small.cnt : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\CashBar.dll -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\Cashfiesta\CashBar.dll -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\Cashfiesta\Cashfiesta.exe -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\Cashfiesta\cfshtie.dll -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\Cashfiesta\Impcfw.dll -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\Cashfiesta\ProcMod.dll -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\Cashfiesta.exe -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\cfshtie.dll -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\Impcfw.dll -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\barre pub\ProcMod.dll -> Adware.CashFiesta : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\I6G0S45T\dl[1].exe -> Downloader.Small.cnt : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\I6G0S45T\dl[2].exe -> Downloader.Small.cnt : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\I6G0S45T\dl[3].exe -> Downloader.Small.cnt : Nettoyer et sauvegarder
C:\Documents and Settings\LocalService.AUTORITE NT.000\Local Settings\Temporary Internet Files\Content.IE5\I6G0S45T\dl[4].exe -> Downloader.Small.cnt : Nettoyer et sauvegarder
C:\MTE3NDI6ODoxNg.exe -> Downloader.Small.buy : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\ooiw\ooiwa.exe -> Downloader.TSUpdate.l : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\ooiw\ooiwl.exe -> Downloader.TSUpdate.p : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\ooiw\ooiwp.exe -> Downloader.TSUpdate.f : Nettoyer et sauvegarder
C:\Program Files\Fichiers communs\WinFixer 2005\FCrXML.dll -> Adware.Winfixer : Nettoyer et sauvegarder
C:\Program Files\Media Access -> Adware.MediaAccess : Nettoyer et sauvegarder
C:\Program Files\Media Access\Info.txt -> Adware.MediaAccess : Nettoyer et sauvegarder
C:\Program Files\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Nettoyer et sauvegarder
C:\Program Files\SideFind -> Adware.SideFind : Nettoyer et sauvegarder
C:\Program Files\SideFind\update -> Adware.SideFind : Nettoyer et sauvegarder
C:\stub_113_4_0_4_0.exe -> Downloader.TSUpdate.o : Nettoyer et sauvegarder
C:\WINDOWS\DH.dll -> Hijacker.Small.jf : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSV_0001_N68M0602NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\UERSV_0001_N68M0602NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Nettoyer et sauvegarder
C:\WINDOWS\iconu.exe -> Adware.Zestyfind : Nettoyer et sauvegarder
C:\WINDOWS\MSmedia.exe -> Backdoor.Agobot.afk : Nettoyer et sauvegarder
C:\WINDOWS\system32\ad.html -> Hijacker.Agent.e : Nettoyer et sauvegarder
C:\WINDOWS\system32\logon.exe -> Backdoor.Rbot.apd : Nettoyer et sauvegarder
C:\WINDOWS\system32\lojlzidz.exe -> Backdoor.Rbot.apd : Nettoyer et sauvegarder
C:\WINDOWS\system32\rdriv.sys -> Rootkit.Agent.o : Nettoyer et sauvegarder
C:\WINDOWS\system32\xbkzr.exe -> Backdoor.Rbot.apd : Nettoyer et sauvegarder
C:\WINDOWS\wallpap.exe -> Hijacker.Agent.gp : Nettoyer et sauvegarder
C:\WINDOWS\ZGVzY2FtcHM\asappsrv.dll -> Adware.CommAd : Nettoyer et sauvegarder
C:\WINDOWS\ZGVzY2FtcHM\command.exe -> Adware.CommAd : Nettoyer et sauvegarder
18 Mars 2006 02:09:20

je crois que tout le monde est parti dormir... j'espere que vous serez aussi gentil demain pour m'aider!!
18 Mars 2006 02:42:24

apres un scan sur panda voici le rapport:

Incident Status Location

Spyware:Cookie/YieldManager Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@ad.yieldmanager[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@atdmt[1].txt
Spyware:Cookie/nCase Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@banners.searchingbooth[1].txt
Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@bluestreak[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@doubleclick[1].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@errorsafe[2].txt
Spyware:Cookie/Hitbox Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@hitbox[2].txt
Spyware:Cookie/WUpd Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@revenue[2].txt
Spyware:Cookie/Rn11 Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@rn11[2].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@stats1.reliablestats[2].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@tradedoubler[1].txt
Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@weborama[1].txt
Spyware:Cookie/WinFixer Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@winfixer[1].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@www.errorsafe[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\DESCAMPS\Cookies\descamps@xiti[1].txt
Potentially unwanted tool:Application/ErrorSafe Not disinfected C:\Documents and Settings\DESCAMPS\Local Settings\Temporary Internet Files\Content.IE5\C36JK14X\ErrorSafeScannerInstallFR[1].cab[UERSV_0001_N68M0602NetInstaller.exe]
Virus:W32/Tenga.A Not disinfected C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\dreamweaver\ColdFusion MX\Redistrib\AdvSecMig\Migration\CFML.EXE
Virus:W32/Tenga.A Not disinfected C:\DR140306.exe
Virus:W32/Tenga.A Not disinfected C:\Installer.exe
Adware:Adware/Ucmore Not disinfected C:\MSWIN32.dll.exe
Virus:W32/Tenga.A Not disinfected C:\Program Files\Ahead\Ahead\CoverDesigner\CoverDes.exe
Adware:Adware/Sqwire Not disinfected C:\Program Files\Fichiers communs\ooiw\ooiwd\ooiwc.dll
Potentially unwanted tool:Application/Winfixer2005 Not disinfected C:\Program Files\Fichiers communs\WinFixer 2005\uwappchk.dll
Adware:adware/dollarrevenue Not disinfected C:\WINDOWS\keyboard31.dat
Adware:adware/commad Not disinfected C:\WINDOWS\system32\atmtd.dll
Adware:Adware/Ucmore Not disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O58P6B2N\test3[1].p
Virus:W32/Sdbot.ftp Not disinfected C:\WINDOWS\system32\i
Hacktool:Hacktool/Rootkit.L Not disinfected C:\WINDOWS\system32\rdriv.sys
Adware:adware/sqwire Not disinfected C:\WINDOWS\system32\tsuninst.exe
Adware:Adware/SearchAid Not disinfected C:\WINDOWS\uninstall_nmon.vbs
Virus:W32/Sdbot.GTW.worm Not disinfected C:\WINDOWS\__delete_on_reboot__MSmedia.exe
18 Mars 2006 02:44:25

voici mon hijackthis apres les maniop indiquées :
Logfile of HijackThis v1.99.1
Scan saved at 02:43:31, on 18/03/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\DESCAMPS\Bureau\hitjack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PrevxOne] C:\Program Files\Prevx1\PXConsole.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKCU\..\Run: [ooiw] C:\PROGRA~1\FICHIE~1\ooiw\ooiwm.exe
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://fr.errorsafe.com/pages/scanner_fr/ErrorSafeScann...
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

18 Mars 2006 09:16:18

Bonjour,

1/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe
O4 - HKCU\..\Run: [ooiw] C:\PROGRA~1\FICHIE~1\ooiw\ooiwm.exe

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://fr.errorsafe.com/pages/scanner_fr/ErrorSafeScann...

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)


2/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

3/ ensuite supprime les fichiers et/ou dossiers suivants si présents :

C:\Program Files\Fichiers communs\ooiw\ --> le dossier
C:\WINDOWS\system32\MSDNSD32.exe
C:\WINDOWS\MSmedia.exe
C:\Program Files\Network Monitor\ --> le dossier
C:\Documents and Settings\DESCAMPS\Cookies\ --> vide ce dossier sauf index.dat
C:\Documents and Settings\DESCAMPS\Local Settings\Temporary Internet Files\ --> vide ce dossier
C:\Documents and Settings\DESCAMPS\Mes documents\logiciel\dreamweaver\ColdFusion MX\Redistrib\AdvSecMig\Migration\CFML.EXE
C:\DR140306.exe
C:\Installer.exe
C:\MSWIN32.dll.exe
C:\Program Files\Fichiers communs\WinFixer 2005\ -> supprime ce dossier
C:\WINDOWS\keyboard31.dat
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\ --> vide ce dossier
C:\WINDOWS\system32\i
C:\WINDOWS\system32\rdriv.sys
C:\WINDOWS\system32\tsuninst.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\__delete_on_reboot__MSmedia.exe

4/ Supprime les services infectieux comme ceci :

Démarrer/Exécuter/ tape sc delete "MicroSoft Media Tools" puis Entrée
Démarrer/Exécuter/ tape sc delete "Network Monitor" puis Entrée

5/ Vide ta corbeille.

faudra penser à installer un antivirus (il semble que Prevx ne soit plus installé...)
et mettre ton système à jour via http://windowsupdate.microsoft.com/
18 Mars 2006 10:30:27

Bonjour comment se debarrasser de M?IEXEC.EXE.Merci d'avance pour la solution!
18 Mars 2006 12:46:29

je colle mon nouveau hijackthis :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Prevx1\PXConsole.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\Prevx1\PXAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Documents and Settings\DESCAMPS\Bureau\hitjack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PrevxOne] C:\Program Files\Prevx1\PXConsole.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: RaConfig2500.lnk = C:\Program Files\RALINK\RT2500 USB Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Program Files\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

tout vous semble bon?
pourtant mes pages ineternet ram lorsque je veus les faires defiler, et en plus mon fond d'ecran windows est mauvais ( c'est l'original, la plaine avec les nuages ) , on voit tous les pixels!
de plus je n'ai pas trouvé les objets cités dans tes trois dernieres lognes a supprimées!!!
pourtant j'ai coche toutes les options d'affichage que tu m'as dis...
merci, pour tout
18 Mars 2006 13:11:29

j'espere que quelqu'un pourra repondre a mes questions..
merci
18 Mars 2006 13:11:58

Citation :
de plus je n'ai pas trouvé les objets cités dans tes trois dernieres lognes a supprimées!!!
pourtant j'ai coche toutes les options d'affichage que tu m'as dis...

--> ils ont été supprimés précédemment

le rapport HJT ne révèle plus d'infection
mais en cas de doute tu peux faire un scan en ligne chez kaspersky et poster le rapport.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS