Se connecter / S'enregistrer
Votre question

Nouveau virus (urlmsssc.exe) bloque l'ouverture du pare feu et des antivirus

Tags :
  • Pare-feu
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Mars 2006 21:54:58

J'ai découvert une application dans le gestionnaire de tache : urlmsssc.exe

Ce nom de fichier apparait aussi dans HiJackThis.

J'ai découvert deux fichiers dans "windows:system32" :
- urlmsssc.exe
- urlmsccc.ocx

Comme par hazard, depuis que j'ai ce fichier, je ne peux plus ouvrir le Pare feu de Windows ! ainsi que des tas de logiciels anti spyware : ad-aware, spybot...

J'ai remarqué que j'arrive à les ouvrir en renommant simplement ces logiciels ! par exemple "log" à la place de "ad-aware"...

Mais impossible de renommer le Pare Feu de Windows (Panneau de configuration)...

J'ai essayé de redémarrer en mode sans échec pour effacer la bestiole. J'ai réussit qu'une seule fois,et la bestiole est revenue. impossible de le refaire... bizarre.
Premiere question : quelqu'un connait il ce virus ?

Deuxieme question : comment ouvrir le pare feu, en mode sans échec, qd le menu démarrer n'apparait plus ?

Autres pages sur : nouveau virus urlmsssc exe bloque ouverture pare feu antivirus

1 Mars 2006 22:04:06

Bonjour

Je ne trouve rien sur ce processus. En général, cela veut dire qu'il est infectieux.

Poste ton rapport HijackThis.
2 Mars 2006 08:07:46

Voici le log de HiJackThis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Evidence Destructor\erasrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Archives\HijackThis.exe
Contenus similaires
2 Mars 2006 08:08:51

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe,urlmsssc.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\urlmsssc.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D19A72F-8AD2-4374-AD70-9B0D538B0720} - C:\WINDOWS\system32\oyqblelx.dll
O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\bin32.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [00ERSRRRNKY] C:\Program Files\Evidence Destructor\eraser.exe
O4 - HKLM\..\Run: [Agent Explorer] C:\WINDOWS\system32\urlmsssc.exe
O4 - HKLM\..\RunOnce: [00ERSRRRNKY] "C:\Program Files\Evidence Destructor\erasrv.exe" remove
O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [Agent Explorer] C:\WINDOWS\system32\urlmsssc.exe
O4 - Startup: Raccourci vers speedfan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O20 - Winlogon Notify: bin32 - C:\WINDOWS\SYSTEM32\bin32.dll
O21 - SSODL: Themes Component - {4088B1C1-DEF4-466F-82ED-91E2075FE7B8} - C:\WINDOWS\system32\nvwiarp.dll
O23 - Service: Eraser Service (EraserThread) - Unknown owner - C:\Program Files\Evidence Destructor\erasrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

2 Mars 2006 08:11:51

Je remarque une chose :

j'ai une seule fenetre IE ouverte, et on en trouve une dizaine dans HiJackThis.

j'ai oublié de dire que ce virus désactive, ou modifie l'affichage des processus dans le Gestionnaire de taches

A mon avis, il s'agit simplement d'un spyware assez intelligent pour se protéger des anti-spywares. lol.
2 Mars 2006 09:12:31

Salut,

C'est pas un spyware... ;-)

1) Désinstalle Evidence Destructor dans Ajout/Suppression de programmes.

2) Relance HijackTHis, coche ces lignes et appuie sur Fix Checked :
Citation :

F2 - REG:system.ini: Shell=explorer.exe,urlmsssc.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\urlmsssc.exe

O2 - BHO: (no name) - {6D19A72F-8AD2-4374-AD70-9B0D538B0720} - C:\WINDOWS\system32\oyqblelx.dll
O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\bin32.dll

O4 - HKLM\..\Run: [00ERSRRRNKY] C:\Program Files\Evidence Destructor\eraser.exe
O4 - HKLM\..\Run: [Agent Explorer] C:\WINDOWS\system32\urlmsssc.exe
O4 - HKLM\..\RunOnce: [00ERSRRRNKY] "C:\Program Files\Evidence Destructor\erasrv.exe" remove
O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe

O4 - HKCU\..\Run: [Agent Explorer] C:\WINDOWS\system32\urlmsssc.exe

O20 - Winlogon Notify: bin32 - C:\WINDOWS\SYSTEM32\bin32.dll
O21 - SSODL: Themes Component - {4088B1C1-DEF4-466F-82ED-91E2075FE7B8} - C:\WINDOWS\system32\nvwiarp.dll
O23 - Service: Eraser Service (EraserThread) - Unknown owner - C:\Program Files\Evidence Destructor\erasrv.exe


3) Redémarre en mode sans échec

4) Supprime ces fichiers :
C:\WINDOWS\system32\urlmsssc.exe
C:\WINDOWS\system32\oyqblelx.dll
C:\WINDOWS\system32\bin32.dll
C:\Program Files\Evidence Destructor\ <= ce dossier
C:\WINDOWS\supervisor.exe
C:\WINDOWS\system32\nvwiarp.dll

5) Redémarre normalement


As tu encore des soucis ??
2 Mars 2006 10:20:26

merci d'avoir répondu si vite ! je vais tester....

au fait, si c'est pas un virus ou trojan, c'est quoi ? une incompatibilité entre deux logiciels ?
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS