[internet explorer]virus?
Jérem
-
Utilisateur anonyme -
Utilisateur anonyme -
D'abord, bonjour a tous! Alors voilà mon problème: Depuis quelques jours mon antivirus, Antivir, me détecte un virus nommé HTLM/Expl.lframeBof2. Le probleme est que je n'arrive pas a l'éradiquer. J'ai déja essayer en désactivant la réstauration système, en scannant avec antivir, je coche delete, et apres un redémarage, il est toujours la. Petite précision,en refaisant un scan, antivir ne le détecte pas tout de suite après le redémarage. Ah oui, j'utilise windows xp.
J'éspère que quelqu'un a une idée de ce que c'est, et va pouvoir m'aider.
Merci
J'éspère que quelqu'un a une idée de ce que c'est, et va pouvoir m'aider.
Merci
7 réponses
-
Je vais mettre quelques précision en plus( que j'ai oublié):Avant cela j'ai eu des logiciel qui ce sont installé tout seul sur le pc, aucune idée comment!! J'ai effectué un scan en ligne, mais il ne me le détecte pas. J'ai internet explorer qui bloque de temps en temps. A l'aide!
-
bonjour,
1) tu connais la localisation exacte de ce trojan ?
2) fait un log hijackthis pour voir si tu as d'autres programmes susceptibles de réamorcer cet intrus
http://www.zebulon.fr/articles/HijackThis.php
(screenshot) <---
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français
- Le mettre dans 1 dossier ex: C:\HijackThis
- Le lancer -> Scan -> Save log
- Récupérer ce log/texte avec le bloc-notes.
- Le copier/coller ici
@+
-
antivir me dit ça:
c:\Documents and settings\jérémy\local settings\Temporary internet files\content.IE5\N2N2QT\205-2[1].HTML
contains signature of the HTML script virus HTML/Expl.lframBof2
Ad aware:
Win32.trojandownloader.swizzor.br --> c:\documents~1\jrmy~1\locals~1\temp\zdciadjy.exe
Win32.trojandownloader.swizzor.br -->c:\documents~1\jrmy~1\locals~1\temp\lsyntpkc.exe
Hijackthis
Scan saved at 18:25:44, on 05/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\PREVX\Prevx Home\SAGUI.exe
C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Winamp3\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\SETI@home\SETI@home.exe
C:\Program Files\WinZip\WZQKPICK.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\PREVX\Prevx Home\PXAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ljqmisxdiquatrb.net/XFEKVVgeG71rnjtu_UW7blRTwmr711g5YSpu9QW_KW4EGV7hnwCBBxn4Uua0jANq.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\system32\msjava32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {850CE228-3A6C-832C-15CA-90B495F50773} - C:\DOCUME~1\JRMY~1\APPLIC~1\FRAGVG~1\HoleBat.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Program Files\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PrevxHome] C:\Program Files\PREVX\Prevx Home\SAGUI.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [memo soft active sign] C:\Documents and Settings\All Users\Application Data\creative rule memo soft\KNOBLOCKS.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Program Files\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [seticlient] C:\Program Files\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [Ownsmore] C:\DOCUME~1\JRMY~1\APPLIC~1\INTRAF~1\Bore team.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Product Registration.lnk = J:\ATR1.EXE
O4 - Startup: Ubisoft register.lnk = C:\Program Files\Ubisoft\Register\schedule.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101165887509
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A96D6852-1F22-4624-A99B-B5F887115BAB}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Prevx Agent - Prevx Ltd. - C:\Program Files\PREVX\Prevx Home\PXAgent.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -
Ah oui j'oubliait: J'ai bien essayer de les virés avec ad aware et antivir mais ils revienne tout le temps!
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
ok d'acc! je vois :-)
antivir me dit ça:
c:\Documents and settings\jérémy\local settings\Temporary internet files\content.IE5\N2N2QT\205-2[1].HTML
contains signature of the HTML script virus HTML/Expl.lframBof2
vider les fichiers temporaires internet, ils se trouvent dans le dossier Temporary Internet Files,
Vous pouvez vider ce dossier "à la main" en supprimant simplement son contenu, le chemin d'accès est :
C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files
Si le dossier Local Settings n'apparaît pas dans l'explorateur, allez dans Outils > Options des dossiers et cochez "Afficher les dossiers cachés" dans l'onglet Affichage.
Vous pouvez également vider ce dossier depuis votre explorateur internet.
http://www.inoculer.com/internetfiles.php3
Win32.trojandownloader.swizzor.br --> c:\documents~1\jrmy~1\locals~1\temp\zdciadjy.exe
Win32.trojandownloader.swizzor.br -->c:\documents~1\jrmy~1\locals~1\temp\lsyntpkc.exe
pareil, Ad-aware ne peut pas supprimer à ta place ce que contient ce dossier, c'est à toi de vider ton cache internet
C:\Program Files\MessengerPlus! 3\<-- quand tu as installé ce log, tu as bien coché la case "ne pas accepter le sponsor" ?? (le sponsor est le spyware lop.com)
dans le log fixer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http$$://www.ljqmisxdiquatrb.net/XFEKV
O2 - BHO: (no name) - {850CE228-3A6C-832C-15CA-90B495F50773} - C:\DOCUME~1\JRMY~1\APPLIC~1\FRAGVG~1\HoleBat.exe <-- tu as l'air d'avoir un fichier suspect dans "applications data"/fixe aussi!
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll (file missing)
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll (file missing) <-- spyware!! fixe et refixe :-)
http://computercops.biz/clsid-1336.html <-- voir ici
pour les lignes 04
1) CTRL/ALT/SUPP : arrête ces processus par le gestionnaire des tâches
2) tu repasses sur le log et tu fixes
O4 - HKLM\..\Run: [memo soft active sign] C:\Documents and Settings\All Users\Application Data\creative rule memo soft\KNOBLOCKS.exe <-- fixer- et supprimer si encore dans "applications data"
O4 - HKCU\..\Run: [Ownsmore] C:\DOCUME~1\JRMY~1\APPLIC~1\INTRAF~1\Bore team.exe <--idem à supprimer dans applications data après les fix si ....
*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque <-- tu dois en avoir besoin ouille! (démarrer/program./accessoires/outils système/répondre OK à TOUT)
tu devrais alléger ton démarrage, tu as un max de programmes inutiles (04/RUN)
dossier désinfection/en cas de virus
http://www.inoculer.com/virusdesinfection.php3
@+ -
Un grand merci a toi!! J'ai fait tout ce que tu m'a dis, et refait un scan, et il n'y aplus rien. Les trojans ont disparus, ainsi que les lien internet et programmes qu'ils m'étaient impossible de supprimer! ouf!
-
ok tant mieux
et n'oublie pas de consulter la procédure d'un scan anti-bzzz-bzzz pour éviter de jouer à "stock-bestioles" :-)))
bonne fin de soirée jérem :-)
*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
