[ infection par virus Trojan qhosts]

Fermé

andrew - 19 févr. 2005 à 11:30
andrew - 28 févr. 2005 à 20:49

bien le bonjour à vous,
depuis quelques jours mon ordinateur est infecté par le virus Trojan qhosts. il s'ensuit pas mal de problèmes que je souhaiterai que vous m'aidiez à résoudre:
1° à chaque démarrage de mon PC, symantec m'indique qu'il a supprimé ce virus . si c'est le cas je ne comprends pas pourquoi

2° la mise à jour de windows update est impossible quelle que soit la manière dont j'ouvre windows update. en effet, lorsque sur windows update
je clique sur "installation rapide (recommandée) : mise à jour prioritaire pour votre ordinateur" la page comportant le message suivant s'ouvre :
[Numéro d'erreur : 0x80070424]
Windows Update a rencontré une erreur et ne peut pas afficher la page demandée. Les sources d'information suivantes peuvent vous aider à résoudre le problème :
Options d'aide sans assistance :

Centre de support de Windows Update

Utilitaire de résolution des problèmes Windows Update

Groupes de discussion de Windows Update
Options du Support assisté en ligne :

Support assisté en ligne Microsoft (gratuit pour les questions liées à Windows Update) .

3°enfin, étant totalement néophyte, pouvez vous aussi me donner des instructions pour vider sans danger la zone de quarantaine de symantec sans perdre de fichier indispensables à la bonne marche de mon PC.

vous remercie par avance de l'intérêt que vous apporterez à l'étude de ma requête et vous assure de mes sentiments les meilleurs

A voir également:

[ infection par virus Trojan qhosts]
Trojan remover - Télécharger - Antivirus & Antimalwares
Message virus iphone site adulte - Forum iPhone
Trojan wacatac ✓ - Forum Virus
L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
Youtu.be virus - Accueil - Guide virus

47 réponses

Réponse 41 / 47

moe
25 févr. 2005 à 22:25

on va essayer de faire simple:
On reprend tout à zéro étapes par étapes

-1) redemarre ton pc en passant par:
demarrer>arreter l'ordinateur
choisis redemarrer

-2 )Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"

-3 ) ouvre le gestionnaire des taches (CTRL+ALT+SUPPR)
et termine ces processus(clic droit sur le processus puis clic sur terminer):

GMT.exe
CMESys.exe

Si tu ne les voit pas dans le gestionnaire des taches, passe a l'étape suivante

-4 ) lance hijackthis et Fixe:
cocher au début de chaques lignes valider avec fix checked:

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll (file missing)

-5 ) double clic sur poste de travail puis double clic sur l'icone de ton disque dur, et double clic sur le dossier Program Files puis sur Fichiers communs.
A l'interieur du dossier Fichiers communs, vérifie la presence de ces deux dossiers
CMEII
GMT
S'il sont bien la, tu les supprimes

-6 ) vide la corbeille

-7 ) recoche " masquer les fichiers protégés du système"

-8 ) redemarre le pc

9 ) reposte un log hijackthis pour voir l'évolution

andrew
25 févr. 2005 à 23:22

en attendant de tes nouvelles je constate quand je veux ouvrir une pièce jointe sur outlook le message suivant : "Final-Recipient: rfc822;maguyalain@free.fr
Original-Message-ID: <000c01c51a80$efa1edb0$88414052@julien>
Disposition: manual-action/MDN-sent-manually; displayed "

comment faire maintenant pour pouvoir ouvrir et lire les pièces jointes d'outlook

Réponse 42 / 47

andrew
25 févr. 2005 à 23:00

ça y est, j'y suis arrivé. le 09 ci dessous ne portait le même nom que jusqu'à -A9046DEA8A21 . après c'était un peu différent je l'ai quand même fixé avec fix checked ? le fallait il ?
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll (file missing)

je suis toujours embêté par l'installation de Money que j'ai désinstallé ! pour ne pas perdre le contenu des fichiers (je ne possède plus le logiciel que mon fils avait récupéré ou piraté je ne sais où) qui se trouvent sous money dois je nécessairement acheter un autre logiciel money et le réinstaller ?

ci joint le log demandé

Logfile of HijackThis v1.99.1
Scan saved at 22:56:20, on 25/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Messenger\msmsgs.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [QD FastAndSafe] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v43/yacscom.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF037C2C-083A-4005-A99D-F247ACA499A5}: NameServer = 212.27.39.2 212.27.32.177
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Réponse 43 / 47

moe
25 févr. 2005 à 23:34

Cette fois c'était la bonne !!

money, pourquoi tu l'as désinstallé ?
Je crois que sans le cd ca va etre difficile de reinstaller.
Tu peux toujours essayer de trouver une reponse en posant la question sur le forum logiciel du site.

Je pense que ton probleme est réglé.

a+ et bon surf

Réponse 44 / 47

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 févr. 2005 à 23:41

salut
cela c est a virer
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 45 / 47

moe
25 févr. 2005 à 23:51

salut balltrap

exact, celle là je suis passé au travers, je dois avoir besoin d'une seconde paire de lunette lol

a+

andrew
26 févr. 2005 à 00:18

bon moe je crois que ce coup ci c'est réglé. pour moi ça a été dur ! voire plus. le but est atteint grace à toi. j'ai supprimé R et le 02-BHO signalé par ball trap (poste 74).

je te suis redevable et ne sais comment l'exprimer. ta patience est sans faille c'est certain. je te souhaite une bonne nuit et à bientôt pour un simple bonjour.
mes amitiés à ball trap dont l'aide a été précieuse et qui pourrait me donner ces coordonnées puisqu'on est voisin (j'habite Agde).
dites moi comment faire savoir sur le site de CCM que mon problème a été réparé.

cordialement

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331 > andrew
26 févr. 2005 à 00:24

on est tres voisin
florensac

andrew > balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009
26 févr. 2005 à 09:11

salut balltrap,
oui on est tres voisin. apparemment nous avons un point commun: le tir puisque je suis membre de l'ata.

voici mes coordonnées tél du travai (affaires mariitimes Agde) 04 67 94 10 55.

A+ et merci encore à vous deux

moe
26 févr. 2005 à 00:26

salut andrew

Je suis vraiment content pour toi, et tu n'est redevable de rien du tout.

a+

Réponse 46 / 47

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
25 févr. 2005 à 23:52

a force d analyser ont en saute
entous cas vous faites un super boulot

moe
26 févr. 2005 à 00:29

sincerement merci pour le compliment, que je te retourne par la meme occasion, mais je suis encore loin de ton niveau ou celui de dolly, s!ri... et les autres
C'est mon 1er pc et je l'ai depuis moins d'un an, y a encore du chemin.... en tout cas c'est grace à des personnes comme vous que j'arrive à apprendre un peu plus tout les jours et a progresser, et c'est ce qui m'interresse.
Rien que pour ca, je profite de l'occasion pour vous remercier.

a+

andrew > moe
28 févr. 2005 à 20:49

bonsoir moe,

lors de l'opération de sauvetage, au poste 61 tu m'avais suggéré de telecharger ces 2 logiciels:

Ad-aware:
http://www.lavasoftusa.com/french/support/download/
l'aide ici:
http://www.ordi-netfr.com/adawarese.html

- Spybot S&D:
http://telechargement.zebulon.fr/79-Spybot---Search-&-Destroy.html
l'aide:
http://www.zebulon.fr/articles/spybot_1.php
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php
#ssd_02
Lis bien les tutoriaux, et met les a jours.
lance les, en mode sans echecs pour plus d'efficacité(pas obligatoire mais des fois nécessaire).
Supprime tout ce qu'ils trouvent.

maintenant que tout est rentré dans l'ordre, dois je le faire ?

bien à toi, merci et bonsoir

Réponse 47 / 47

balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
26 févr. 2005 à 00:32

donc tu apprend vite et laisse de cote le vous
ici cela n existe pas lol
quand j ai mis ceci

vous faites un super boulot

le vous veut dire toi ,dolly,tuf,erwann et desoler si j oublie les autres

Discussions similaires

Softonic,est-ce un virus ?

Est ce que le site tlauncher est dangereux ?

Comment supprimer le virus Trojan

Aide pour un virus

Trojan impossible à supprimer!