J0r.biz
pborgne
Messages postés
9
Statut
Membre
-
pborgne Messages postés 9 Statut Membre -
pborgne Messages postés 9 Statut Membre -
Bonjour
J'ai un PC sous XP pro avec une connection a internet de type ADSL. J'ai un firewall et un antivirus.
Malgres tout cela, depuis qques jours j'ai Internet Explorer qui s'ouvre et m'affiche la page "http://j0r.biz/new.html"
Je me doute bien que c'est un virus ou un vers ou qqchose dans le genre puisque sans que je lui demande rien il essai d'installer plein de choses sur mon PC
J'ai passé l'antivirus (McAfee) il n'a rien vu, j'ai passé l'antispyware (Ad Aware, et Spybot) Ils n'ont rien vu non plus
qu'est ce que je peux faire d'autre pour que ce j0r.biz arrete de me pourrir la vie?
Merci
-Pierre
J'ai un PC sous XP pro avec une connection a internet de type ADSL. J'ai un firewall et un antivirus.
Malgres tout cela, depuis qques jours j'ai Internet Explorer qui s'ouvre et m'affiche la page "http://j0r.biz/new.html"
Je me doute bien que c'est un virus ou un vers ou qqchose dans le genre puisque sans que je lui demande rien il essai d'installer plein de choses sur mon PC
J'ai passé l'antivirus (McAfee) il n'a rien vu, j'ai passé l'antispyware (Ad Aware, et Spybot) Ils n'ont rien vu non plus
qu'est ce que je peux faire d'autre pour que ce j0r.biz arrete de me pourrir la vie?
Merci
-Pierre
4 réponses
Salut pborgne
télécharge hijackthis
http://telechargement.zebulon.fr/138-HijackThis-1.99.html
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php
ou ici:
http://assiste.free.fr/p/frameset/07_hijackthis.php
Avant de lancer hijackthis:
Nettoyage du disque:
accessoires > outils système > nettoyage du disque
cocher:
fichiers et programmes téléchargés
fichiers internet temporaires
corbeille
fichier temporaires
valider ok
Puis fais un copier/coller du log sur le forum.
a+
télécharge hijackthis
http://telechargement.zebulon.fr/138-HijackThis-1.99.html
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php
ou ici:
http://assiste.free.fr/p/frameset/07_hijackthis.php
Avant de lancer hijackthis:
Nettoyage du disque:
accessoires > outils système > nettoyage du disque
cocher:
fichiers et programmes téléchargés
fichiers internet temporaires
corbeille
fichier temporaires
valider ok
Puis fais un copier/coller du log sur le forum.
a+
Supprime BHO (no name) ,tu fais FIXCHECK, tu peux faire savelog avant et tu l'enregistres dans un répertoire que tu connais pour y revenir ensuite si besoin.
Tu peux aussi fixer HKCU\RUN que tu ne connais pas ,de toutes façons si on ls supprime,ça n'empèche pas le programme de fonctionner, c'est pour les programmes qui se lancent
au démarrage.
Tu peux aussi fixer HKCU\RUN que tu ne connais pas ,de toutes façons si on ls supprime,ça n'empèche pas le programme de fonctionner, c'est pour les programmes qui se lancent
au démarrage.
Salut
Démarre en mode sans echec:
redemarrer l'ordinateur et appuyer plusieurs fois sur F8
Termine les processus douteux:
Ouvrir le gestionnaire des taches: CTRL+ALT+SUPPR
Clic-droit sur le processus et choisir terminer le processus.
Termine:
p6.exe
Fixe avec hijackthis:
cocher au début de chaques lignes valider avec fix checked
O4 - HKLM\..\Run: [lhbbklvslu] C:\WINDOWS\System32\lmaaeu.exe
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
O4 - HKCU\..\Run: [Windows Compliant] dwfceu.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
puis:
Supprime les fichiers douteux:
- Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
Rechercher les fichiers à supprimer avec l'explorateur:
clic sur demarrer>rechercher (dans les options avancées, vérifier que rechercher dans les
dossiers systeme, dans les fichiers et dossiers cachés, dans les sous-dossiers soient cochés)
ou en suivant le chemin du fichier.
Supprime dans le dossier
C:\WINDOWS\System32\ =>lmaaeu.exe
p6.exe
dwfceu.exe
vpc32.exe <= http://it.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65315&VName=WORM_AGOBOT.XM&VSect=T
recocher " masquer les fichiers protégés du système" dans les options des dossiers
Fait tes mises à jour windows via windows update et un scan ici pour vérif:
http://housecall.trendmicro.com
a+
Démarre en mode sans echec:
redemarrer l'ordinateur et appuyer plusieurs fois sur F8
Termine les processus douteux:
Ouvrir le gestionnaire des taches: CTRL+ALT+SUPPR
Clic-droit sur le processus et choisir terminer le processus.
Termine:
p6.exe
Fixe avec hijackthis:
cocher au début de chaques lignes valider avec fix checked
O4 - HKLM\..\Run: [lhbbklvslu] C:\WINDOWS\System32\lmaaeu.exe
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
O4 - HKCU\..\Run: [Windows Compliant] dwfceu.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
puis:
Supprime les fichiers douteux:
- Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"
Rechercher les fichiers à supprimer avec l'explorateur:
clic sur demarrer>rechercher (dans les options avancées, vérifier que rechercher dans les
dossiers systeme, dans les fichiers et dossiers cachés, dans les sous-dossiers soient cochés)
ou en suivant le chemin du fichier.
Supprime dans le dossier
C:\WINDOWS\System32\ =>lmaaeu.exe
p6.exe
dwfceu.exe
vpc32.exe <= http://it.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65315&VName=WORM_AGOBOT.XM&VSect=T
recocher " masquer les fichiers protégés du système" dans les options des dossiers
Fait tes mises à jour windows via windows update et un scan ici pour vérif:
http://housecall.trendmicro.com
a+
Merci pour tes indications.
La log générée n'est pas des plus faciles a comprendre
en voici une copie, si quelqu'un peux m'eclaircir
Logfile of HijackThis v1.99.0
Scan saved at 20:55:21, on 01/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\WINDOWS\System32\p6.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Program Files\Software602\602LAN SUITE\Lansuite.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
C:\Program Files\Software602\602LAN SUITE\wwwclnt\M602LS3W.EXE
C:\Program Files\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [lhbbklvslu] C:\WINDOWS\System32\lmaaeu.exe
O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Compliant] dwfceu.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
O4 - Startup: 602LAN SUITE.lnk = C:\Program Files\Software602\602LAN SUITE\Lansuite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097608547289
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: AVSync Manager - Network Associates, Inc. - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McShield - Unknown - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Merci
-Pierre