Sujet Précédent Sujet Suivant

C:\hxisn.exe

chris13580 -  
 privart -
Bonjour,

J'ai le même soucis, j'ai cet exe dans c: mais impossible de la faire disparaitre, je la supprime mais il revient sans cesse. J'ai fait des nettpyage ccleaner, sans echec... sans résultats.

Si quelqu'un a une idée.

Merci d'avance

10 réponses

Réponse 1 / 10
BeFaX Messages postés 16334 Statut Contributeur 3 825
 
CCleaner est un nettoyeur de registre et de fichiers temporaires, cookies etc ... En aucun cas il ne supprime de virus.
0
Réponse 2 / 10
menu65 Messages postés 5337 Statut Membre 354
 
salut

il reviendra a chaque demarrage via la restauration system

0
Réponse 3 / 10
Utilisateur anonyme
 
Bonjour chris13580,
Telecharges HijackThis sur le bureau, tu le lances, clic sur " do a scann system and save log file " a la fin, le bloc notes doit s'ouvrir, tu fais un copier/coller de ce rapport dans un prochain message ci dessous.
A+
0
Réponse 4 / 10
menu65 Messages postés 5337 Statut Membre 354
 
sympa lacharpante va d'aider

mais c est toujours asser long bon courage a tous
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Karen
 
Vous pouvez aussi essayer ComboFix (après avoir éxécuter CCleaner).
A+
0
Réponse 6 / 10
gilom
 
j'ai le même problème le message suivant appparait:

C:/ hxisn.exe
le processeur NTVDM a rencontré une intrusion non autorisée.

j'ai antivir , j'ai fais un scan une mise à jour rien y fait.
j'ai lancé live clean kill messenger,msn fix,spyboth...
résultat rien y fait j'ai envoyé un mess à tous mes contact msn (ma photo est sur facebook ... ) alors que je suis pas inscrit, et la fenêtre noire hxisn apparait toute les 10 minutes c'est insupportable.

je l'ai supprimé,envoyais à la corbeille à plusieurs reprises sans résultats.
AIDEZ MOI s'il vous plaît !!
0
gilom
 
J'ai réussi à m'en débarasser avec Bit Defender sans problème.
merci pour votre aide ,sinon j'aurais essayer ta technique privat.

a+
0
Réponse 7 / 10
Karen
 
J’ai réussi avec ccleaner + combifix:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Suivez bien les instructions. Bonne chance!
0
Réponse 8 / 10
privart
 
Alors,

De ce que j'ai pu voir pour en avoir été victime également:

hxisn.exe est généré par c:\windows\system32\wuauclt.exe, dont l'original a été renommé en wuauclt1.exe. Si vous allez dans le répertoire, vous voyez que les icones sont différentes. Cet utilitaire est en fait l'outil des mises à jour automatiques de windows, ce qui fait que tant que le fichier n'est pas le bon, c'est le virus qui est lancé et qui génère systématiquement le fichier hxisn.exe.

Pour virer tout ça manuellement:

préparez un explorateur sur c:\windows\system32
lancez le gestionnaire de tâches, et sélectionnez la colonne Nom de l'image, pour ne pas que ça bouge trop
allez sur wuauclt.exe et tuer le processus, ensuite allez supprimer le fichier c:\windows\system32\wuauclt.exe et renommez le fichier wuauclt1.exe en wuauclt.exe.

Il se peut aussi que l'archive contenant le virus se trouve dans c:\windows\prefetch
Faites une recherche dans ce répertoire sur les fichiers contenant le mot clé hxisn.exe, et supprimez l'archive associée.

Rebootez votre PC pour être sur, vous ne devriez plus être embêtés (vérifiez que c:\hxisn.exe n'apparait plus).

++
0
Réponse 9 / 10
chris13580
 
Salut,

Je viens de faire tourné Combofix et Ccleaner comme proposé par Karen, et il a disparu. J'espere que c'est définitif sinon j'essaierai votre méthode Privart.

Encore merci à tous pour votre aide.
Je vous met le compte rendu de Combofix.
Cordialement.

ComboFix 09-05-25.05 - Christian 26/05/2009 9:55.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1559 [GMT 2:00]
Lancé depuis: c:\documents and settings\Christian\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090525-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: ActiveArmor Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Christian\Local Settings\Application Data\gkugs.dat
c:\documents and settings\Christian\Local Settings\Application Data\gkugs_nav.dat
c:\documents and settings\Christian\Local Settings\Application Data\gkugs_navps.dat
C:\hxisn.exe
c:\windows\msnmsgrss.exe
c:\windows\system32\msconfig.exe
c:\windows\system32\tmp63.tmp
c:\windows\system32\tmp64.tmp

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-04-26 au 2009-05-26 ))))))))))))))))))))))))))))))))))))
.

2009-05-25 19:36 . 2009-05-25 21:25 123392 ----a-w C:\hxig.exe
2009-05-25 14:26 . 2009-05-25 14:26 -------- d--h--w c:\windows\PIF
2009-05-07 15:06 . 2009-05-07 15:06 -------- d-----w c:\program files\Iomega
2009-05-07 15:03 . 2009-05-07 15:03 -------- d-----w c:\documents and settings\Christian\Local Settings\Application Data\Nero
2009-05-04 07:24 . 2009-05-04 07:26 -------- d-----w c:\docume~1\CHRIST~1\APPLIC~1\vlc
2009-04-27 15:47 . 2009-04-27 15:47 -------- d-----w c:\documents and settings\LocalService\Application Data\InstallShield
2009-04-27 15:43 . 2009-04-27 15:43 -------- d-----w c:\program files\Motorola
2009-04-27 15:43 . 2009-04-27 15:43 -------- d-----w c:\program files\Common Files
2009-04-27 15:36 . 2007-06-18 12:18 23680 ----a-w c:\windows\system32\drivers\motmodem.sys
2009-04-27 15:28 . 2009-04-27 15:28 -------- d-----w c:\program files\Fichiers communs\Motorola Shared

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-25 14:23 . 2008-12-04 21:25 -------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-05-23 13:21 . 2009-04-11 11:54 -------- d-----w c:\docume~1\CHRIST~1\APPLIC~1\Skype
2009-05-19 19:53 . 2008-11-21 10:36 -------- d-----w c:\docume~1\CHRIST~1\APPLIC~1\dvdcss
2009-05-19 13:46 . 2009-02-24 15:07 0 ----a-w c:\windows\Infob.dat
2009-05-19 13:46 . 2009-02-24 15:07 0 ----a-w c:\windows\Infoa.dat
2009-05-15 22:07 . 2009-04-11 11:53 -------- d-----w c:\docume~1\CHRIST~1\APPLIC~1\Hamachi
2009-05-01 15:00 . 2001-08-28 13:00 93648 ----a-w c:\windows\system32\perfc00C.dat
2009-05-01 15:00 . 2001-08-28 13:00 533246 ----a-w c:\windows\system32\perfh00C.dat
2009-04-27 15:46 . 2009-03-05 16:54 -------- d-----w c:\documents and settings\All Users\Application Data\PC Suite
2009-04-27 15:41 . 2009-04-27 15:41 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_motmodem_01005.Wdf
2009-04-27 15:35 . 2008-10-16 14:57 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-24 15:00 . 2009-04-24 15:00 -------- d-----w c:\documents and settings\All Users\Application Data\Electronic Arts
2009-04-24 14:36 . 2009-04-24 14:36 -------- d--h--r c:\docume~1\CHRIST~1\APPLIC~1\SecuROM
2009-04-23 06:21 . 2009-03-29 06:42 -------- d-----w c:\program files\Yahoo!
2009-04-21 10:07 . 2009-03-26 08:51 -------- d-----w c:\documents and settings\All Users\Application Data\Yahoo!
2009-04-11 11:54 . 2009-04-11 11:54 -------- d-----w c:\documents and settings\All Users\Application Data\Skype
2009-04-11 11:52 . 2009-04-11 11:52 25280 ----a-w c:\windows\system32\drivers\hamachi.sys
2009-04-03 13:20 . 2008-12-01 16:56 138464 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-04-03 13:20 . 2008-12-01 16:56 111928 ----a-w c:\windows\system32\PnkBstrB.exe
2009-04-01 12:24 . 2009-04-01 12:24 -------- d-----w c:\program files\ImageShackToolbar
2009-04-01 09:50 . 2009-04-01 09:50 -------- d-----w c:\program files\Microsoft
2009-04-01 09:50 . 2009-04-01 09:49 -------- d-----w c:\program files\Windows Live
2009-04-01 09:25 . 2008-10-16 21:40 56056 ----a-w c:\documents and settings\Christian\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-03-30 18:32 . 2008-10-16 20:28 -------- d-----w c:\program files\Windows Media Connect 2
2009-03-17 16:57 . 2009-03-17 16:47 9232 ----a-w c:\documents and settings\Christian\mqdmmdfl.sys
2009-03-17 16:57 . 2009-03-17 16:47 92064 ----a-w c:\documents and settings\Christian\mqdmmdm.sys
2009-03-17 16:57 . 2009-03-17 16:47 79328 ----a-w c:\documents and settings\Christian\mqdmserd.sys
2009-03-17 16:57 . 2009-03-17 16:47 66656 ----a-w c:\documents and settings\Christian\mqdmbus.sys
2009-03-17 16:57 . 2009-03-17 16:47 6208 ----a-w c:\documents and settings\Christian\mqdmcmnt.sys
2009-03-17 16:57 . 2009-03-17 16:47 5936 ----a-w c:\documents and settings\Christian\mqdmwhnt.sys
2009-03-17 16:57 . 2009-03-17 16:47 4048 ----a-w c:\documents and settings\Christian\mqdmcr.sys
2009-03-17 16:57 . 2009-03-17 16:47 25600 ----a-w c:\documents and settings\Christian\usbsermptxp.sys
2009-03-17 16:57 . 2009-03-17 16:47 22768 ----a-w c:\documents and settings\Christian\usbsermpt.sys
2009-03-06 14:46 . 2004-08-03 23:54 286208 ----a-w c:\windows\system32\pdh.dll
2009-03-05 16:48 . 2009-03-05 16:48 8192 ----a-w c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstCCD.exe
2009-03-05 16:48 . 2009-03-05 16:48 61440 ----a-w c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-03-05 16:48 . 2009-03-05 16:48 10240 ----a-w c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstPCS.exe
2009-03-05 16:47 . 2009-03-05 16:48 33764696 ----a-w c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Nokia_PC_Suite_7_1_18_0_fre.exe
2009-03-03 00:13 . 2004-08-03 23:54 826368 ----a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-22 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-07-20 847872]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]
"VX1000"="c:\windows\vVX1000.exe" [2006-12-05 707360]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-10-10 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-11-07 15:41 72208 ----a-w c:\program files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech SetPoint.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PHOTOfunSTUDIO -viewer-.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PHOTOfunSTUDIO -viewer-.lnk
backup=c:\windows\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Search.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Logiciels\\Emule\\emule.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"e:\\Program Files\\Codemasters\\GRID\\GRID.exe"=
"e:\\Program Files\\Codemasters\\DiRT\\DiRT.exe"=
"e:\\Program Files\\CyberLink\\PCM4Everio\\PCM4Everio.exe"=
"e:\\Program Files\\CyberLink\\PCM4Everio\\EverioService.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"e:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"e:\\Program Files\\Steam\\SteamApps\\chris13580\\race 07\\Race_Steam.exe"=
"e:\\Program Files\\Steam\\SteamApps\\chris13580\\race 07\\SteamProxy.exe"=
"e:\\Program Files\\Steam\\SteamApps\\chris13580\\race 07\\Config.exe"=
"e:\\Program Files\\rFactor\\rFactor.exe"=
"c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"e:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=
"e:\\Program Files\\Electronic Arts\\Battlefield 2142 Deluxe Edition\\BF2142.exe"=
"e:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
"e:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [16/10/2008 21:07 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16/10/2008 21:07 20560]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [14/02/2009 18:27 10384]
.
Contenu du dossier 'Tâches planifiées'

2009-05-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 12:42]

2009-05-25 c:\windows\Tasks\User_Feed_Synchronization-{6531731C-E622-475C-B1BA-ADF3B0B5C800}.job
- c:\windows\system32\msfeedssync.exe [2008-10-04 10:58]
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-procexp90.Sys

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.orange.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: Post Image to Blog - c:\program files\ImageShackToolbar\ImageShackToolbar.dll/5003
IE: Tag This Image - c:\program files\ImageShackToolbar\ImageShackToolbar.dll/5002
IE: Transload Image to ImageShack - c:\program files\ImageShackToolbar\ImageShackToolbar.dll/5004
IE: Upload All Images to ImageShack - c:\program files\ImageShackToolbar\ImageShackToolbar.dll/5000
IE: Upload Image to ImageShack - c:\program files\ImageShackToolbar\ImageShackToolbar.dll/5001
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-26 09:57
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll
.
Heure de fin: 2009-05-26 9:58
ComboFix-quarantined-files.txt 2009-05-26 07:58

Avant-CF: 28 652 728 320 octets libres
Après-CF: 28 703 903 744 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer

193 --- E O F --- 2009-05-13 10:01
0
Réponse 10 / 10
privart
 
Ok, après une journée passée après la manip, il s'avère que le virus en question touche beaucoup plus de choses.

Passage de combofix aussi, pas mal de fichiers vérolés supprimés, on va voir si ça tient dans le temps ^^
0