J0r.biz

pborgne Messages postés 9 Statut Membre -  
pborgne Messages postés 9 Statut Membre -
Bonjour
J'ai un PC sous XP pro avec une connection a internet de type ADSL. J'ai un firewall et un antivirus.
Malgres tout cela, depuis qques jours j'ai Internet Explorer qui s'ouvre et m'affiche la page "http://j0r.biz/new.html"
Je me doute bien que c'est un virus ou un vers ou qqchose dans le genre puisque sans que je lui demande rien il essai d'installer plein de choses sur mon PC
J'ai passé l'antivirus (McAfee) il n'a rien vu, j'ai passé l'antispyware (Ad Aware, et Spybot) Ils n'ont rien vu non plus

qu'est ce que je peux faire d'autre pour que ce j0r.biz arrete de me pourrir la vie?

Merci
-Pierre

--
to ERR is human
to really screw things up you need a computer

4 réponses

  1. moe
     
    Salut pborgne

    télécharge hijackthis
    http://telechargement.zebulon.fr/138-HijackThis-1.99.html
    L'aide est ici:
    http://www.zebulon.fr/articles/HijackThis.php
    ou ici:
    http://assiste.free.fr/p/frameset/07_hijackthis.php

    Avant de lancer hijackthis:
    Nettoyage du disque:
    accessoires > outils système > nettoyage du disque
    cocher:
    fichiers et programmes téléchargés
    fichiers internet temporaires
    corbeille
    fichier temporaires
    valider ok

    Puis fais un copier/coller du log sur le forum.

    a+
    0
    1. pborgne Messages postés 9 Statut Membre
       
      Moe

      Merci pour tes indications.
      La log générée n'est pas des plus faciles a comprendre

      en voici une copie, si quelqu'un peux m'eclaircir

      Logfile of HijackThis v1.99.0
      Scan saved at 20:55:21, on 01/02/2005
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
      C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
      C:\WINDOWS\System32\p6.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
      C:\Program Files\Software602\602LAN SUITE\Lansuite.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
      C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
      C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
      C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
      C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
      C:\Program Files\Software602\602LAN SUITE\wwwclnt\M602LS3W.EXE
      C:\Program Files\hijackthis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll
      O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
      O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
      O4 - HKLM\..\Run: [lhbbklvslu] C:\WINDOWS\System32\lmaaeu.exe
      O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
      O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Windows Compliant] dwfceu.exe
      O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
      O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
      O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe
      O4 - Startup: 602LAN SUITE.lnk = C:\Program Files\Software602\602LAN SUITE\Lansuite.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097608547289
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O23 - Service: AVSync Manager - Network Associates, Inc. - C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
      O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
      O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
      O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
      O23 - Service: McShield - Unknown - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
      O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
      O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
      O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
      O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
      O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
      O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
      O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
      O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
      O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
      O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
      O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

      Merci
      -Pierre
      0
  2. wiilll
     
    Supprime BHO (no name) ,tu fais FIXCHECK, tu peux faire savelog avant et tu l'enregistres dans un répertoire que tu connais pour y revenir ensuite si besoin.
    Tu peux aussi fixer HKCU\RUN que tu ne connais pas ,de toutes façons si on ls supprime,ça n'empèche pas le programme de fonctionner, c'est pour les programmes qui se lancent
    au démarrage.
    0
  3. moe
     
    Salut

    Démarre en mode sans echec:
    redemarrer l'ordinateur et appuyer plusieurs fois sur F8

    Termine les processus douteux:
    Ouvrir le gestionnaire des taches: CTRL+ALT+SUPPR
    Clic-droit sur le processus et choisir terminer le processus.
    Termine:

    p6.exe

    Fixe avec hijackthis:
    cocher au début de chaques lignes valider avec fix checked

    O4 - HKLM\..\Run: [lhbbklvslu] C:\WINDOWS\System32\lmaaeu.exe
    O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe
    O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe
    O4 - HKCU\..\Run: [Windows Compliant] dwfceu.exe
    O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
    O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe

    puis:
    Supprime les fichiers douteux:
    - Afficher les dossiers cachés et fichiers système:
    panneau de configuration > options des dossiers > onglet affichage

    cocher " afficher les fichiers et dossiers cachés "
    décocher " masquer les extentions des fichiers dont le type est connu
    décocher " masquer les fichiers protégés du système"

    Rechercher les fichiers à supprimer avec l'explorateur:
    clic sur demarrer>rechercher (dans les options avancées, vérifier que rechercher dans les
    dossiers systeme, dans les fichiers et dossiers cachés, dans les sous-dossiers soient cochés)

    ou en suivant le chemin du fichier.

    Supprime dans le dossier

    C:\WINDOWS\System32\ =>lmaaeu.exe
    p6.exe
    dwfceu.exe
    vpc32.exe
    <= http://it.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65315&VName=WORM_AGOBOT.XM&VSect=T

    recocher " masquer les fichiers protégés du système" dans les options des dossiers

    Fait tes mises à jour windows via windows update et un scan ici pour vérif:
    http://housecall.trendmicro.com

    a+
    0
  4. pborgne Messages postés 9 Statut Membre
     
    Merci a tous

    J'ai suivi vos conseils pas a pas, j'espere etre tranquille maintenant

    -Pierre
    0